问题我设计的RESTAPI将用于iOS和Android应用程序，并可能在未来用于网络和其他移动客户端。如何将我的整个API限制为仅我希望访问的客户端(应用程序)？我想阻止第3方访问我的API来注册用户，甚至在不通过授权应用程序(移动或Web客户端)的情况下登录。当前想法我可以为每个我想要授权的客户端提供一个key，但是如何防止从我的应用程序源代码中提取此key(如果我的应用程序是网络应用程序，则尤其容易)？此外，如果将来需要更改key(由于妥协)，这将很困难，因为我的所有客户端都需要更新，而旧客户端将无法运行。必须有更好的解决方案。我正在使用JWT进行用户身份验证，但我看不出如何将其应