Ранее я использовал два способа:
1- Простой и плохой способ: попробуйте использовать жестко закодированную строку, например JWT, в своем приложении и использовать сильный обфускатор, чтобы избежать декомпиляции приложения.
2- Лучший способ: вы можете использовать instance id и отправить его своему бэкэнду, а сервер может запросить этот идентификатор у Google, и в ответе есть несколько элементов, таких как package id, которые сервер может использовать для принятия или отклонения запроса.
Пример ответа от Google:
{
"application":"com.iid.example",
"authorizedEntity":"123456782354",
"platform":"Android",
"attestStatus":"ROOTED",
"appSigner":"1a2bc3d4e5",
"connectionType":"WIFI",
"connectDate":"2015-05-12
}
}
ссылка: https://developers.google.com/instance-id/reference/server