不想把Facebook/Twitter API密钥存储在移动设备上,设计模式?

我有一个问题,让我的秘密API密钥在世界各地潜在的数千个移动设备上。它很容易被黑客破解并用于恶意目的。

那我有什么选择呢? 我猜是一个私有服务器,它有秘密的API密钥和一个封装所有方法调用的web服务。因此,与其让移动设备拥有密钥,不如执行以下操作:
List<Friends> = service.GetFriends(secretKey);

如果我的秘密API密钥被泄露并用于垃圾邮件/滥用目的,我必须关闭对所有用户的使用,让我的应用程序死于非命。

因此,我的想法是,我可以使用移动设备唯一的设备ID并执行以下操作:
List<Friends> = myService.GetFriends(deviceID);

当然,恶意黑客可以用一个假设备ID调用我的web服务,但至少我现在可以控制黑名单设备ID。它还引入了一些潜在的带宽问题,但这是一个不太重要的问题。

真正的PKI可能是不可能的,因为目标设备在当前版本中不处理HTTP客户端证书。

还有什么好主意吗?