このWebサービスを使用しています。そのWebサービスのために、私たちの部門はWebサービスを利用するためのクライアントを開発しました。
私たちが防ぎたいのは、彼らがそれを消費するために他のクライアントを開発することです。
消費しているクライアントがアプリケーションであることを検証するために、クライアントとWebサービスの通信を改善できるアルゴリズムや手法はありますか?
サーバー上で計算された時間と一致する必要がある時間(5秒の猶予期間)について暗号化アルゴリズムを開発できると思います。
しかし、確かに、そのためのベストプラクティスはありません...またはそれでも良いアイデアである場合は...
(私の英語については申し訳ありません)
Webサービス(SOAPまたはRESTベースなど)のポイントの一部は、サービスをさまざまなクライアント実装で使用できるようにするインターフェイスを公開することだと思います(相互運用性はWebサービスの動機の1つです)。
クライアントが使用できるようにサービスをロックしたい場合、それを「Webサービス」として使用することの唯一の利点は、おそらくそれを実装したツールとライブラリです。これが価値があるかどうかを検討することをお勧めします(実際に可能です)。
クライアントアプリケーションを配布する場合、そのクライアントからの要求を確実にする保護メカニズムがあれば、このクライアントに組み込む必要がある可能性があります。したがって、どのような秘密のメカニズムを埋め込んでも、おそらく特定のポイントまでしか難読化されませんが、より高度なユーザーは解読できます。
あなたが探しているものは「認証」として知られています。
アプリケーション認証が必要です。Webベースのアプリケーションとサービスについては、2本足のOAuthを調べてみてください。OAuthでは、サービスにアクセスするすべてのクライアントアプリのIDとシークレットを提供し、すべてのメッセージはセキュリティを強化するために署名されます。