Для мобильного (iOS / Android) игрового проекта, над которым я работаю, мне было поручено добавить поддержку загрузки / выгрузки (игровых) пользовательских данных через определенный веб-сервис (который мы сами создадим) на Интернет. Очевидно, что наличие такого сервиса в открытом доступе без какой-либо инфраструктуры безопасности может нанести ущерб компании и игрокам игры (обман является самой очевидной проблемой, но, возможно, наименее важной из них).
Мне интересно, является ли это известным и решенным вопросом сообществом разработчиков программного обеспечения. Существуют ли рекомендации или рекомендации, которым мы должны следовать, чтобы гарантировать, что доступ к этому веб-сервису предоставляется только мобильному приложению (самой игре)? Меня особенно беспокоит, как легко людям получить двоичные файлы любого мобильного приложения, сопоставить их с данными, а затем получить «копию ключей», которая позволит им получить доступ практически ко всему, что им нужно в инфраструктуре приложения.
Какие-либо идеи о том, что я должен преследовать при реализации мер безопасности в этом веб-сервисе? Все, что вы мне скажете, очень поможет!