Вы встали на очень очень сложную тему. Приготовьтесь к очень долгим ночам чтения различных техник по защите вашего кота и мыши. Я думаю, что вам лучше всего ставить секретную строку в заголовке каждого запроса. Примерно так:
Секретный заголовок: # $ F @ FQAFDSFE # $% # ADSF ()) *
Проверьте этот заголовок на стороне сервера и используйте SSL. Кто-то может легко ответить на этот пост «Ну, это не останавливает это, это и это», и они будут правы. Вопрос в том, беспокоит ли вас банк из-за того, что кто-то истощает счета вашего клиента? Или вы просто беспокоитесь о том, что 99,9999% населения недостаточно воли для того, чтобы угнать ваше барахло?
У некоторых людей есть разные мнения на этот счет, но если ваши пользователи требуют аутентификации для доступа к веб-сервисам, достаточно указать имя пользователя и пароль в заголовке через SSL. Они все еще могут похитить ваши услуги, но не смогут увидеть то, что они не должны были в любом случае. Это работает только на уровне настройки типа пользователя, хотя. Если это полностью публично, вы должны рассмотреть, насколько не важны ваши данные. Это может быть не так важно, как вы думаете.