我设计的REST API将用于iOS和Android应用程序,以及将来可能用于Web和其他移动客户端.

如何将我的整个API仅限制为我想要访问的客户端(应用程序)？我想阻止第三方访问我的API以注册用户,甚至无需通过授权应用程序(移动或Web客户端)登录.

目前的想法

我可以为每个客户端提供我想要授权的密钥,但是如何防止从我的应用程序的源代码中提取此密钥(如果我的应用程序是Web应用程序,则特别容易)？此外,如果密钥需要在将来更改(由于妥协),这将很困难,因为我的所有客户端都需要更新,旧客户端将无法运行.必须有一个更好的解决方案.

我正在使用JWT进行用户身份验证,但我没有看到如何将此问题应用于我的问题.我真的很喜欢JWT如何轻松实现,所以如果我可以应用JWT实现来解决这个问题会很棒.