Merhaba,

Öncelikle uygulayacağınız herhangi bir yöntemin %100 güvenliği sağlayamayacağını belirtmek istiyorum. Web servisin güvenliği noktasında düşünülmesi gereken, alınabilecek en iyi önlemi/önlemleri uygulamak oluyor. Şu anda Instagram, Facebook vs. servisleride authorization olarak kullanıcıya üretilmiş apiKey'ler gönderiyorlar. Kimlik doğrulama mekanizması yani. (OAuth2.0 'ıda araştırabilirsiniz.)

Evet, kullanıcıya üretilmiş apiKey'e başkası eriştiğinde, sanki o kullanıcıymış gibi işlemler yapabilir. Aşağıda bazı önerilerim var, bunları uygulayabilirseniz biraz daha içiniz rahat olur

Sunucunuza SSL kurun.
Daha da güvenlikli olsun istiyorsanız, mobil uygulamalardan SSL Pinning ile servislere bağlantı kurdurun. (Yine de tam güvenlik yok)
Kullanıcıya üretilen apiKey'leri her istekte (örneğin; kullanıcı bilgilerinin çekildiği bir servis varsa) eskisiyle değiştirerek yenisini üretin ve response olarak dönün.

ApiKey'e erişilmemesi ne kadar önemli ?

Bu işlerle uğraşan bir çok lamer arkadaşlar bile, bazı araçlar ile Instagram dahil çok bilindik uygulamalar dahil, dataları manipüle edebiliyorlar.
Uygulamadan servisinize bağlanan cihazlar güvensiz bir ağa bağlı ise trafik dinlenerek, gelen giden datalar yine okunabilir. Önemli olan key'e erişilse de, kötü niyetli kişinin minimum zarar vermesi.

Servisinizdeki tüm metodlarda bu apiKey'i zorunlu tutar ve işlemler bu apiKey üzerinden yapılırsa sistemdeki başka kullanıcılara, başka tablolara kayıt dışı işlem yapamaz.

Önemli bir özellik, servisinizde rate-limit yapısı olsun.
Pathlerin isimlerini kolay tahmin edilebilir yapmayın.

Şu anda aklıma gelen temel önlemler bunlar olabilir, sadece servisin değil mobil uygulamalarında güvenli mobil uygulama geliştirme' ye dikkat edilerek yazılması gerekir.

İyi çalışmalar diliyorum