Как лучше сделать закрытое REST API?

бред пишите: если Вы подпись запроса не сформируете верным образом, то никакая документация не спасёт...

xmoonlight: Видимо, Вы меня не так поняли.

Fadi Hadzh: Я говорил про это:

а если доступное из браузера или скажем приложения, то это API перестает быть закрытым, а становится попросту недокументированным.

xmoonlight: Рассмотрим пример API для мобильного приложения. Проведя реверс-инжиниринг можно найти методы и схемы запросов, однако данное API разработчики, вероятно, считают закрытым, но это не так.

Fadi Hadzh: Предлагаю Вам не путать понятия:
1. Обезличенный/публичный доступ к открытому API - когда всё открыто и не просят ввода пользователя (или токена) в запросах к API.

2. Авторизованный доступ к открытому недокументированному API (то, что Вы описали) - единая формула подписи для всех запросов, меняются только параметры клиента (username, UUID и т.д.). Обычно используют в клиентских приложениях, которые можно скачивать/устанавливать и/или просматривать их логику и т.д.

3. Авторизованный доступ к закрытому API - уникальная формула подписи запросов, включая параметры клиента и известная только одному клиенту. Формула никогда не хранится и не передаётся 3-й стороне (например, не размещается в приложении).

Касательно п.2:
Методы и схемы - найти можно. А вот выполнить валидный запрос к API без формулы и всех параметров - так просто - не удастся. Я не спорю, что можно попробовать всё продебажить и получить эту формулу(+ключи) через реверс-инжиниринг из скомпилированного кода программы. Но это очень трудоёмко, а проапдейтить приложение в маркете - это 2-3 часа максимум.

То, чем пользуется приложение - это открытое API с авторизованным доступом.
Закрытое API - это когда есть API, но нет формулы подписи запросов, которая доставляется отдельно каждому клиенту и является уникальной для каждого клиента.

Формула подписи запросов - это динамический токен, он также может быть с какой-либо привязкой к любому однозначно проверяемому параметру: подсети, IP-адресу, userID любого "облачного" сервиса, домену, e-mail, устройству, стране, городу и т.д.
Также, такой токен может быть как с определённым сроком действия, так и безлимитный.

xmoonlight: Понял Вас. Спасибо что поправили.