有什么办法只允许我开发的 APP 访问我的 WEB 服务吗？

额。。最简单的就做个登陆认证呗

自己对客户端加壳加密呗。

破解只有成本问题，你 app 能访问的那别人就能模拟你的 app 去访问，不可能杜绝，考虑安全也要基于这一点再考虑，做成哪怕客户端被破解被模拟也没问题，

可以考虑 1 、客户为什么用其他工具访问你的 web 服务呢（可以加一些 c#专属功能，让其他工具体验变差） 2 、如果是预防不法分子，那就混淆+各种加密，增加成本

@Xusually
@neptuno
@clf

客户端需要访问 WEB 端，并请求解密一段二进制，然后把二进制烧录到下位机。主要是防止别人得到明文的二进制。
所以对用户而言，他不需要认证就可以使用 APP 。

搞个白名单呗，，只允许客户的 ip 访问

双向 ssl 验证

@villivateur #5 使用一次性密钥

很多防盗措施都是自己想多了，对方要有这个能力这活也没必要给你了，相反如果你确认有人想盗版你的软件或者盗用你的服务，那么比起防止被盗，更好的手段是鉴别非法访问然后埋雷，设置成积累到一定程度再引爆，然后就轮到你坐地起价了。

第三方验证码接口二次认证结果生成匹配的随机浏览器 UA 指纹访问，非匹配 UA 直接拒绝响应。

@lower 但这样防不了客户

@bootvue 客户端的私钥如何保密？

关键部分用 c++写，然后调用

@villivateur 加密狗或者 TPM 就是干这个的

找几个重要的工作参数，通过页面内嵌的元素获取

https 用自签证书

@Ediacaran 好吧看错了内容。
每次发布都携带公钥。这样被破解了也知道谁干的

mtls 啊.

登记著作权，抓到就起诉

居然没有人提到 HTTPS 客户端验证？

自建一个 CS ，然后给每个客户端颁发一个证书，发现泄漏就吊销掉那个证书。

C#有混淆工具吧，把代码混淆后可以提高逆向难度。有条件的话做加壳。同时可以加一些反调试方案，检测到被调试就直接退出，或者进入假逻辑。
HTTPS 只能起到点对点数据加密，不能做到客户端识别，你可以设置成仅信任你用的签发机构的证书，避免使用自签通配符证书来抓包。
客户端发数据给服务端的时候给 payload 做签名，签名一定要涉及时间戳，避免有破解者直接构造网络请求发给服务器。而且可以做个 ban IP 的策略，一旦接收到签名错误的请求就把 IP ban 一段时间。