Robię aplikację na telefon która będzie korzystała z "REST API" napisanego w PHP czyli po prostu obsługa POST request. Aplikacja będzie używała Retrofit + OkHttp z wygenerowanym certyfikatem SSL. Chcę użyć php ponieważ nie będę musiał bawić się serwery dedykowane aby takie api napisać np w javie tylko wystarczy mi prosty serwer dla stron www. Tylko jest jeden minus skrypt w PHP obsłuży także zwykłego forma z html a tego nie chcę... Chciałbym zablokować RESTA w PHP aby osbługiwał tylko szyfrowane zapytania z aplikacji. Pomysł mam taki aby aplikacja doklejała do zapytania dodatkową informację typu ID aplikacji, teoretycznie całe wtedy zapytanie leci szyfrowane więc nawet jeśli ktoś będzie chciał przechwycić jaki jest to ID aplikacji to tego nie zrobi i zapytanie ze zwykłego forma html do tego skryptu PHP nie przejdzie bo nie będzie prawidłowego ID aplikacji.
Co o tym myślicie jest to bezpieczne rozwiązanie? (wystarczające?) Chcę za wszelką cenę uniknąć nie powołanych wywołań tego kodu bo może mnie to narazić na koszta.