Да, наличие токена / сертификата в составе вашей установки, вероятно, является наиболее эффективным способом обеспечить доступ к службе только компьютерам с вашим программным обеспечением.
Также: не публиковать WSDL, например, отключите все конечные точки метаданных и «HTTP Get URL» и т. д. - не публикуйте свое присутствие всем, кто занимается серфингом! ; -)
Кроме того, ваше приложение может также отправлять определенные заголовки - хотя их довольно легко найти и расшифровать.
И последнее по порядку, но не по значению: вы можете придумать свой собственный причудливый переплет, например, есть какая-то странная комбинация, возможно, ваш собственный сериализатор или форматировщик сообщений. Это уже довольно далеко, но определенно можно было бы преодолеть и некоторые препятствия.