Kami sedang mengerjakan layanan baru - layanan ini berpotensi akan dipanggil langsung dari aplikasi di perangkat pengguna. Aplikasi ini akan dikembangkan dan didukung oleh beberapa tim pengembangan dari seluruh organisasi, semua tergantung pada data yang kami berikan.
Kami ingin mengidentifikasi aplikasi mana yang mengirim permintaan mana, sehingga kami dapat mengidentifikasi pola penggunaan dan pengembang yang bertanggung jawab. (Untuk menghindari keraguan, otentikasi pengguna ditangani secara terpisah.)
Solusi kami adalah memerlukan kunci API, satu per aplikasi - maka kami memiliki detail kontak untuk tim pengembangan.
Kami tidak ingin menjadikan kunci API sebagai sumber gesekan, tetapi kami khawatir bahwa pengembang akan membagikannya kepada kolega di tim lain, artinya kami tidak lagi dapat mengidentifikasi lalu lintas untuk hanya satu aplikasi.
Bagaimana kita bisa mendorong pengembang untuk tidak membagikan kunci API secara internal?