¿Hay alguna forma de asegurar que una solicitud HTTP a mi servidor REST proviene de mi aplicación? Supongo que no, ya sea lo que sea que haga en el lado del cliente, ya que las personas tienen acceso a ese código, pueden averiguar qué estoy haciendo y hacer lo mismo.
¿Es un enfoque válido utilizar siempre HTTPS (para detener las miradas indiscretas) y luego requerir que cualquier solicitud incluya una contraseña que proporcionemos a cada usuario válido? ¿O eso no funciona bien en la práctica?
¿O hay algo más que podamos hacer? No nos preocupa el cifrado o la firma de los datos en la solicitud, solo verificamos que proviene de quienes dicen que los están enviando.
En nuestro caso, siempre es un POST que nos envía una consulta en un documento XML, por lo que podemos agregar fácilmente un atributo al XML.