有什么办法只允许我开发的 APP 访问我的 WEB 服务吗？

只要经常无故崩溃，应该能让想破解的人崩溃

@XiLingHost #40 这算任意代码执行漏洞了

参考银行的做法，强加密和强认证

双向认证。
再强点可以用智能卡、TPM 等硬件。

客户端上 2 步验证，绑定手机 绑定 ip

“只允许我开发的 APP 访问我的 WEB 服务，但用户不用登录”，这并不是无需认证，而是认证规则从“用户”，变成了“应用程序”。这当然是可以做的，从应用分发 /购买上加密钥就能实现，典型的就是物理密钥——加密狗。

移动平台下，理论上更好做，比如说付费解锁功能的验证。 你可以尝试借助付费验证来做认证：把访问后台的客户端功能，做成一个 1 分钱解锁的客户端功能；同时，把付费验证信息，作为后台接口的动态认证令牌。

必须登录+双向证书认证+参数校验+商业壳基本就稳了

你能同时在两个手机登录微信吗？
不行的话，这是不是一种思路

混淆一下就行了，没必要整那么复杂。
市面上非常多的正在运行的 APP 连混淆都没做，其中不乏一些不小的公司产品

这个思路本身不合理，楼上一个老哥说的对，如果你的服务真的那么好，值得别人来破解你的客户端，那么你直接对服务收费就好了，花费大力气加密流程得不偿失。

真的有人会为了访问接口，去反编译你的 app 吗，这么值钱的话

单点登录，两步验证，IP 限制；感觉都是思路

看了楼主的附言，目的是保护从服务端下载到的数据不被窃取。但这是个不靠谱的需求，因为别人已经下载了，你光想着保护传输过程没用呀。

换个思路 。 不要在 windows 里做加密防护，在下位机做。 你可以把二进制代码段做一个加密，由下位机写入的时候解密，密钥内置在下位机里

白名单服务,特定 IP 可以访问