Я пытаюсь придумать лучший способ защитить API. Я разрешаю только SSL и использую OAuth2 для аутентификации, но этого недостаточно.
Меня больше всего беспокоит то, что кто угодно может проверить запросы, сделанные легитимным клиентом к API, и украсть OAuth client_id.В этот момент они смогут создать любой запрос, который они захотят выдать за законного клиента.
Есть ли способ предотвратить это? Я видел, как люди использовали хэш параметров HMAC, используя секретный ключ, известный только клиенту и серверу, но я вижу две проблемы с этим.