Tengo una API y una aplicación web donde los usuarios pueden iniciar sesión a través de otro sistema y luego publicar mensajes de texto en mi aplicación, por ejemplo.
¿Cómo puedo asegurar que cuando estos datos solo se publiquen en mi aplicación y no se envíen a otros sitios web?
Si leo la pregunta correctamente, una larga historia corta es que no puedes.
Los datos se ingresan en un sistema bajo el control de otra persona. Cualquier medida que tome para garantizar que los datos se le envíen puede ser eludida por la otra parte.
¿Puede dar más información sobre lo que está tratando de prevenir? La situación todavía no parece muy clara. Parece que tienes una API de fondo y una aplicación de aplicaciones para usuario que utiliza la API. Además, desea poder iniciar sesión desde otro sistema.
Si desea asegurarse de que los datos de su aplicación solo puedan enviarse a su API, debe hacer que la aplicación muestre una devolución de llamada para el inicio de sesión y luego hacer que la aplicación transmita esta información a su API o, alternativamente, usted podría proporcionar una API de autenticación que el inicio de sesión podría utilizar. En este caso, su aplicación tendría que generar un desafío de autenticación asociado con su actividad actual, ese desafío se enviaría al servicio de inicio de sesión para su verificación. Cuando el servicio de inicio de sesión proporciona autenticación a la API, podrá volver a llamar a su aplicación y permitir que se produzca la transacción entre su aplicación y su API.
No estoy seguro de si esto ayuda ya que la pregunta es difícil de entender. Puedo actualizar mi respuesta si puede proporcionar más detalles.
Lea otras preguntas en las etiquetas web-application confidentiality integrity