我已经为我的Android应用程序创建了REST API。所有API都使用OAuth2(密码grant_type)进行保护。
用户提供用户名和密码,服务器验证凭据并发出访问令牌和刷新令牌,然后可用于调用API。
现在问题在于API是公开的,对所有人开放。如何验证只有从我的应用程序生成的调用会被接受。
情景: XYZ是我的应用程序的用户,也是一个非常优秀的开发者。他很好奇地想弄清楚我的应用程序和API如何交互。现在他也有点野心(我猜)并决定创建自己的Android应用程序(类似于我的应用程序)并使用我的REST API。我该如何保护我的API免受此类使用?
我查看了一些其他帖子,但没有找到任何有用的方法来保护我的API免受这种使用。