Как защитить корпоративное распространение iOS с помощью oauth на общедоступном веб-сайте?

У нас есть корпоративный дистрибутив приложения, которое мы хотели бы распространять только внутри нашей организации.

Мы создали файл ipa и plist, которые указывают на нужные места, и создали html-страницу с URL-адресом: itms-services://?action=download&url={ссылка на наш plist}.

Наша проблема, однако, заключается в обеспечении безопасности процесса распространения. Мы хотим, чтобы наши сотрудники с корпоративными iPad могли загружать приложение, находясь в пути (они очень мобильны). Итак, мы хотим разместить plist и приложение на общедоступном веб-сайте, для которого требуется вход через службу oauth.

Наша проблема заключается в том, что если мы требуем аутентификации по URL-адресам для приложения и plist, URL-адрес itms-services:// больше не работает.Что происходит, так это то, что пользователь щелкает ссылку itms-services, и мы видим неаутентифицированный запрос на plist (который перенаправляется на вход), за которым следует «Не удается подключиться к {hostname}» на устройстве.

На данный момент я вижу, что это работает только в том случае, если файлы ipa и plist не проверяются на подлинность. Это означает (я полагаю), что кто-то, угадав наши URL-адреса в нашем plist-файле, может создать свою собственную ссылку на itms-services и загрузить приложение без разрешения, что фактически приведет к тому, что мы нарушим наше соглашение с Apple о распространении только среди наших сотрудников.

Поэтому у меня вопрос: как создать ссылку на itms-services, которая не раскрывает файлы ipa и plist для общего доступа? Если это уместно, веб-сайт создан с использованием nodejs, а приложение является приложением PhoneGap.