Не понимаю смысла "выбрать единственно верный путь". Не жалейте "о бесцельно потраченных годах" на уходящие технологии - типа Delphi, Silverlight и почее. единственное, что ценного может в процессе проф карьеры причерпнуть айтишник - это опыт. Технологии всегда меняются. Опыт решения задач остается. Нарабатываются методики ведения проектов, управления людьми, взаимодействия в команде, использование разных технических возможностей, интеграции технологий и тп.

Развивайтесь и не бойтесь ошибиться. Там, где кто-то видит ошибку и потраченное время, там дрегой найдет опыт.

Давайте рассмотрим вопрос чуть поструктурнее.

Несанкционированное использование неофициальным клиентом - значит пытаемся защитить клиента.

Https с ключом к API защитит только от тривиального перехвата трафика сниффером (mitm).

Если расковыряют приложение и достанут идентификационный ключ для подписания запросов - будет проблема. Тут уже включаем защиту от «расковыривания». Имхо, лучший вариант - плановый выпуск обновления приложения с заменой ключа, и, возможно, внесением определенных изменений в хранение этого ключа (чтобы взлом клиента требовал определенного времени). Когда то народу надоест ломать.

Если ломать не надоело - то следует задуматься над причинами: почему кому то так хочется иметь неофициальный клиент к вашему api. Тут будет проще договорится - или продолжить играть в мечи и щиты.