¿Cómo puedo asegurar mi api para evitar copiar?

Lo primero que debe hacer es asegurarse de que todas las comunicaciones entre su aplicación y el servidor utilicen HTTPS en lugar de HTTP. Esto debería protegerlo de la inspección de paquetes ocasionales. Para hacer que esta configuración sea más segura, también puede considerar el uso de fijación de certificados para evitar ataques de intermediarios involucrando un certificado falsificado para su sitio.

Si está utilizando SSL, el contenido de la solicitud GET se se cifrará (aunque el hecho de que esté haciendo una conexión a su servidor será evidente). Su problema real es que si distribuye la aplicación al público en general, puede ser ingeniería inversa y se puede extraer cualquier clave API que use. Puede ofuscar el binario, pero esto no puede eliminar totalmente la posibilidad de ingeniería inversa.

Dependiendo de su aplicación y de la naturaleza de sus datos, es posible que desee preocuparse más por autenticar a los usuarios de su aplicación, en lugar de a la propia aplicación.

La clave para la seguridad es entender los vectores de ataque. ¿Quién está tratando de acceder a sus datos?

Es un teorema fundamental de que no se puede anular la información. Si un cliente ha recibido datos de su servidor, no se puede deshacer. La criptografía solo se asegura de que el cliente correcto reciba información.

En particular, "la aplicación en sí" no es algo que usted controle completamente. El cliente es una computadora en algún lugar de Internet. El propietario de la computadora puede estudiar la aplicación que se ejecuta en esa computadora. Los datos enviados a la aplicación residen en la memoria y se pueden estudiar después del descifrado. El cifrado solo protege los datos contra escuchas ilegales / hombres en el medio.