Также, пожалуйста, дайте мне знать, если я
совершенно не на том пути здесь:)
Вы:)
Ваша цель - «обеспечить, чтобы запрос поступал только от доверенной стороны» - если «доверенная сторона» интерпретируется как «доверенный пользователь», это стандартная проблема аутентификации, которую ежедневно решают миллионы веб-сайтов по всему миру с помощью простая аутентификация по паролю. Если вы хотите выглядеть модно (и неудобно / дорого), вы можете использовать клиентские сертификаты SSL или токены RSA .
Однако вы, похоже, интерпретируете «доверенную сторону» как «доверенного пользователя, использующего немодифицированный клиент», где «немодифицированный» включает в себя модификации, сделанные преднамеренно пользователем.
Хорошо, забудь об этом. Это невозможно, если вы не позволите пользователю использовать только физически защищенное оборудование, предоставленное вами. Просто невозможно защитить программное обеспечение от произвольного манипулирования кем-либо, кто контролирует его среду выполнения. Киноиндустрия потратила миллиарды, заставила новые стандарты усложнять и дороже внедрять из-за требований к шифрованию и лицензиям, и оттолкнула многих своих клиентов, пытающихся это сделать, и потерпела неудачу (неоднократно).
Edit:
Кажется, что речь идет даже не о клиенте (как в защите от модификации, обычно это означает меры по борьбе с пиратством), а, очевидно, о контроле доступа к серверу. В этом случае перестаньте тратить время на мысли о клиенте. Это не твоя проблема. Доступ к серверу есть. Итак, начните думать о протоколе, как он аутентифицирует клиентов и какие запросы он будет принимать. Исправьте протокол так, чтобы «притворяться клиентом» не было проблемой, потому что запросы, отличные от тех, которые может отправлять законный клиент, просто не будут приниматься.