Как приложение, не требующее входа в систему, защищает конечные точки своего сервера? ⇐ Android

[Anonymous]

Я создаю приложение и серверную часть Spring Boot. Это просто базовое приложение, которое извлекает данные из серверной части. Как я могу убедиться, что запросы, которые я получаю на серверной стороне, исходят от моего приложения?
Полная аутентификация невозможна без входа в систему. Я хочу знать, какие основные действия я могу сделать?
О чем я подумал:

• При установке приложения вызовите /install и отправьте UUID на сервер,
  сервер отвечает сообщением JWT (действителен в течение нескольких часов) и токен обновления (действителен в течение 10 дней). Сохраняет все 3
• при последующих запусках — он вызывает /getToken для получения нового JWT, использует этот
  JWT в запросах.
• После истечения срока действия токена обновления мы предлагаем пользователям войти в систему; если они
  нет, начните снова с шага 1.

Таким образом я могу ограничить использование конечной точки для каждого JWT.
Проблема в том, что конечная точка шага 1 не имеет возможности доказать, что токен запрашивает мое приложение; это может быть кто угодно.
Сообщите мне, есть ли у вас другой способ аутентификации запросов.

Подробнее здесь: https://stackoverflow.com/questions/797 ... -endpoints