我正在开发一个移动应用程序,其中的部分功能将对公众开放,而第二部分仅对已注册的登录用户可用。
因此,该应用程序将能够接受来自移动客户端的不需要登录的服务的呼叫。对于应用程序的这一部分,我已经在应用程序中嵌入了一个api密钥,该密钥将用于验证该调用来自我们的移动应用程序,然后生成一个JWT,该JWT将用于对该应用程序进行后续调用。
我的问题是,即使api在技术上是开放的并且不需要登录,我们希望将这些调用限制为仅来自我们的移动应用程序。即使我现在通过将API密钥放入我们的移动应用程序来完成此任务,但我知道这不是一个好的设计,并且可能会受到影响。是否有其他方法可以限制对我的api的访问,而无需在应用程序本身中嵌入API密钥?