Как гарантировать, что серверный API моего приложения доступен только самому приложению? ⇐ IOS

[Anonymous]

Мое мобильное приложение использует API на основе HTTP с конечными точками, которые несложно определить, например https:///api/config или https:///. api/login.
Таким образом, кто-то может создать учетную запись в приложении, а затем использовать учетные данные в каком-нибудь настольном приложении для создания запросов («мошеннический клиент») для отправки запросов /api/login, а затем, после «входа» с моим схеме аутентификации носителя, перейдите к другим конечным точкам, чтобы увидеть, какие данные оттуда отправляются.
Такие попытки потенциально могут позволить людям подсмотреть некоторые конфиденциальные данные о других пользователях, которые должны быть доступны только внутри компании. только приложением.
Каким будет общепринятый подход к повышению безопасности моего приложения, гарантирующий, что любые данные, отправленные из моего серверного API, будут доступны только приложению?
Существуют ли какие-либо фреймворки специально для приложений iOS? добиться этого?
Мой бэкэнд — Nginx и Django.

Подробнее здесь: https://stackoverflow.com/questions/617 ... app-itself