Você não pode rejeitar efetivamente as conexões, a menos que forneça a cada cliente uma chave privada que possa ser revogada individualmente. Mas isso provavelmente é um exagero. Você não precisa de uma solução à prova de balas se a maioria das pessoas não se incomodar em disparar uma bala.
É uma questão de segurança, então vamos descrever um modelo de ameaça e estratégias de mitigação.
Suponha que você tenha um URL atingido que possa incorrer em custos perceptíveis para você (por exemplo, custo de processamento) e que você deseja protegê-lo de um ataque simples de DoS e de aplicativos copiados.
Use o SSL para impedir que a conexão seja analisada facilmente. Use um número de porta que não seja óbvio, uma sequência de redirecionamento, uma troca de cookies para complicar um pouco a conexão antes de fazer a parte dispendiosa da solicitação. Use algum código secreto inserido no seu aplicativo para informar ao servidor que ele precisa aceitar a conexão.
Agora, alguém não pode aprender o URL caro a ser atingido simplesmente executando um farejador de pacotes ou examinando as strings semelhantes a URL no seu código. Um invasor em potencial precisa descompilar seu aplicativo.
Você realmente não pode proteger seu código de ser descompilado e / ou executado em um depurador. O atacante finalmente aprende a chave secreta e a sequência de conexão.
Você percebe que começa a receber solicitações de rouge no seu URL caro: na forma de um ataque ou na forma de um aplicativo de cópia que precisa acessar seu serviço para executar, ou talvez um código de exploração seja publicado publicamente. Você não pode diferenciar uma solicitação não autorizada de uma solicitação legítima.
Crie uma atualização secundária gratuita para o seu aplicativo, com uma chave secreta diferente. Ele deve atingir um URL caro diferente, que serve os mesmos dados que o URL caro comprometido. Por algum tempo, torne os dois URLs acessíveis.
Assista a sua base de usuários mudar para a versão atualizada. Acelere o URL caro comprometido e, eventualmente, 404. Você acabou de mitigar uma violação de segurança, sem perder muito. De volta à estaca zero.
Isenção de responsabilidade: não sou especialista em segurança.