客户端 – 服务器安全性和认证

无论编程语言如何

我有一个客户端服务器应用程序

移动客户端 – http服务器

该应用程序将在几个手机上提供，不仅仅是android。

我想确保请求仅来自客户端的移动设备。

我该如何解决这个安全问题？

我提议：

在移动应用上有一个硬编码的密钥：

每个请求都使用此密钥加密，并在服务器端解密。

如果这种方式有意义，那么对密钥进行硬编码是否安全？（反编译器可以获得密钥？该应用程序不仅适用于Android！）

额外信息：

每个用户都有一个用户名/用户名…

不要将加密密钥（或任何其他需要保密的密钥）放入移动应用程序中，然后依赖它们。这是一个严重的缺陷。

关键可以是逆向工程，事实上几家大公司都犯了这个错误。谷歌“twitter oauth key妥协”。