Estoy desarrollando un servidor web y proporciono una API para uso de clientes móviles.
Algunas de mis llamadas son sin autorización, por ejemplo, para iniciar el proceso de autenticación.
¿Existe alguna buena forma / mejor práctica para verificar que estas llamadas se realicen solo desde el dispositivo?
Por ejemplo, mi proceso de autenticación usó un servicio de terceros para enviar mensajes SMS, y si alguien usa esta API desde la computadora, puede provocar el envío de muchos mensajes SMS que costarían mucho. ¿Hay una buena manera de prevenir tales ataques?