Лучшие практики «защиты» API без логина/пароля
У меня есть клиентское приложение, которое можно идентифицировать с помощью некоторого UID. У меня есть серверная служба, которую клиентское приложение должно вызывать для получения некоторых списков. Как лучше всего защитить эту серверную службу? Я не хочу защищаться с помощью логина/пароля (, потому что клиенту не нужно «входить в систему» для получения списков ), однако я бы не хотел, чтобы кто-либо легко вызывал этот серверный API и извлекал эти списки. для своих целей. Думайте о клиенте как о пользовательском Flash-клиенте, мобильном клиенте и т. д. Связь осуществляется через HTTP REST. Любые идеи?
Спасибо
ОБНОВЛЕНИЕ :Извините, забыл упомянуть --без использования SSL. В основном я ищу здесь идею алгоритма/стратегии. Спасибо за предложения!