Нет такой вещи, как «какой-то ключ, который позволяет вашему приложению получать доступ только к вашему веб-сервису».Это не решаемая проблема.Клиенты, не являющиеся вашими (или вашими модифицированными версиями), всегда смогут подключиться к вашему веб-сервису, если они используются авторизованным пользователем.Вы должны учитывать это на стороне сервера.
Если вы считаете, что хотите предоставить какой-то тонкий слой обфускации, чтобы предотвратить тривиальный доступ к вашему сервису, то вы должны поместить учетные данные в свой код.Вы определенно не хотите помещать его в связку ключей, так как это для каждого устройства, и вы хотите для каждого приложения.Я бы порекомендовал длинную случайную строку байтов.