Мне кажется, что вы пытаетесь разрешить только одному приложению доступ к вашему веб-сервису.Один из способов сделать это - TLS с аутентификацией клиента.Для этого у клиента (вашего приложения) должна быть своя собственная пара сертификатов закрытых ключей, и сервер разрешит доступ только в том случае, если будет подтверждено владение закрытым ключом.Он использует точно такую же PKI, что и для проверки сервера по умолчанию, только наоборот.
Преимущество этого заключается в том, что аутентификация клиента является протоколом транспортного уровня, поэтому вам не нужно добавлять дополнительныеуровень безопасности в самом приложении;Ни один из URL-адресов, защищенных TLS, недоступен.Недостатком является то, что у вас есть более сложный протокол для настройки, и распределение ключей становится немного сложнее (если вы используете аутентификацию токена, как предложено Хенриком, вам придется распространять токен надежно ...).
Большинство серверов приложений должны иметь возможность обрабатывать аутентификацию клиента.Дополнительная информация здесь в разделе «Подтверждение клиента TLS handshake».