Как правильно сделать приватный API?

Question

[fuck__all__humans]

Делаю приватный АПИ для сайта, но не могу придумать, как правильно реализовать его приватность. То есть, как сделать этот АПИ только для приложения.
То есть, как сделать так, чтобы только приложение имело доступ к этому АПИ. Есть задумка - использовать пароль для апишки, то есть посылать POST запрос типа site.com/api/password=123456
А на сервере организовать так

const PASSWORD = '123456';
$password = Yii::$app->get('password');
if ($password != PASSWORD) header('HTTP/1.0 403 Forbidden');

Но я думаю, что такой запрос легко отследить сниффером или декомпилировать приложение. Так вот, как обычно делают приватные АПИ подобного типа?

Answer 1

[Rsa97]

HTTPS или установка сеанса по асимметричному ключу, дальнейшее шифрование по сеансовому ключу.
Но если вскроют само приложение, то ничего не поможет.

Comments

[fuck__all__humans]

Можно чуть-чуть по подробнее?

[Rsa97]

Про что? Про HTTPS, думаю, смысла не имеет здесь что-то объяснять, это и так хорошо описано.
Про своё шифрование:
- При первом подключении клиента сервер генерирует пару ключей RSA
- Открытый ключ посылается клиенту
- Клиент генерирует случайный сеансовый ключ
- Клиент шифрует открытым ключом сеансовый ключ, логин и пароль и отсылает их на сервер
- Сервер дешифрует данные закрытым ключом и проверяет учётную запись
- Если всё в порядке, то дальнейший обмен идёт с шифрованием данных симметричным алгоритмом с открытым ключом
- По истечении срока действия сеансового ключа сервер перестаёт отдавать данные, на каждый запрос отвечая требованием реконнекта