Liudar

А разве защиты по ID покупки недостаточно?
curl'ом не получится вытащить больше, чем было куплено.

Если не хотите чтобы купленное можно было вытащить еще как-то, кроме как в самой аппке, попробуйте впилить once-token'ы, генерацию которого будет знать только ваша апка.
Это позволит сделать так, чтобы все запросы были валидными только единожды.
Конечно, остается кейс, когда запрос до сервера "не доходит", а потом исполняется curl'ом, но это уже из разряда паранойи.

Сложность защиты должна быть соизмерима с ценностью защищаемого контента.

Дайте клиенту токен - ничего не значащий guid, пусть его предъявит API, получит следующую порцию контента, смените токен через период N (минута, час, день, неделя).

Шифруйте отдаваемый контент через RSA между сервером и приложением. (SSL/не SSL - это мы сейчас не рассматриваем!)

1. Формируйте УНИКАЛЬНЫЙ! контент/трафик для каждого пользователя и расшифровывайте доставленный контент исключительно в памяти приложения, непосредственно перед моментом отображения на экране!

2. Используйте платёжные данные при шифровании данных на сервере.
3. Меняйте ключ при каждом запросе на основе номера пакета текущей сессии, времени, случайного числа и т.д.
4. Отдавайте контент порциями с разным шифрованием - prefetch/segmentation.
5. Обновляйте протокол внутреннего шифрования хотя бы раз в 1-2 месяца.

Нет 100%-ой защиты на клиенте, которая не позволила бы сохранять контент.
За то - можно это усложнить до нереальных трудозатрат.

Запомните пожалуйста: клиент в руках врага. Всегда. Исключений нет. Любая защита может быть только на сервере, на клиенте - только видимость.