Desarrollar e implementar API

Que tal compañeros, antes que nada, no estoy del todo seguro que este post este en el foro correcto, lo coloco aquí ya que es en el lenguaje en que lo desarrollaré, si esta mal, favor de moverlo.

Bueno, el tema es el siguiente, estoy desarrollando un servicio que se podrá consumir desde la propia página web pero también desde celulares/móviles, con lo cual se va a desarrollar clientes nativos para los diferentes SO, para lo cual estoy desarrollando la idea de implementar una API que sea consumida desde los diferentes clientes que se van a desarrollar, mi duda y/o problema es que por el momento la API solo pueda ser consumida por los clientes oficiales así como la página, cualquier intento de acceder a la API desde otros clientes/páginas se rechazaría la conexión o simplemente no entregaría respuesta alguna, desde páginas web lo tengo resuelto, pero no desde otros clientes, mi duda es:

Como implementar y desarrollar una API que por medio de alguna validación asegurarse que el que se conecta son los clientes oficiales y no otra aplicación que solo quiere consumir el servicio, eh estado pensando varias formas, pero siempre le encuentro una manera sencilla de saltar dicha validación, por ejemplo, implementar un sistema de tokens, pero simplemente snifeando la red se podrían obtener la lista de tokens que traería cada cliente, con lo cual al final podrían conectarse cualquier otra aplicación a la API y esta ni se enteraría...

Se que no existe una solución infalible, tampoco la estoy buscando, pero si al menos un sistema que no sea tan fácil de romper.

Cualquier duda/comentario/respuesta es bienvenida!!!

Lo mejor es tener usuario y contraseña y manejarlo con un token único generado en el login, así funciona la mayoría.

hmmm... una pregunta un poco mas objetiva, ¿has empleado tu alguna API existente? ¿estás familiarizado con el concepto?

lo digo porque el ejemplo mas básico, y muy bueno al respecto es el de la API de Twitter/Facebook por supuesto!!

sobre todo, emplear OAuth es una muy buena forma de ofrecer acceso a nuestras aplicaciones, servicios, etc.

Gracias por responder!!!

Referente al método de usuario/contraseña y token es el primero que pensé, pero con un pequeño esfuerzo de ingeniería inversa se puede emular cualquier dispositivo y al final seria lo mismo que no implementar seguridad alguna, creo que mas bien, lo que busco es una manera de identificar quien es el que manda la solicitud, por ejemplo, en conexiones web se puede verificar que dominio es el que manda la solicitud, con esto se puede saber si es un cliente "oficial" o no

De todas maneras gracias por contestar

Que tal @pateketrueke!!! respecto a tu pregunta claro que eh consumido varias servicios (API's), como el de Twitter, y varios de Google, y en la teoría se como funcionan hasta cierto punto, pero como en el ultimo post que publique, mi duda ya concentrada es como identificar quien es el que solicita el servicio, y como puedo evitar que "clones" consuman el servicio o al menos dificultarles todo lo posible el hacerlo

De hecho la primera API a la que voltee a ver fue la de Twitter, pero aun sigo viendo como funciona su lógica en cuanto a la autentificación

Hola!
Disculpen que me meta, pero no sé dónde preguntar mi duda. ¿para qué sirve la/el API? ¿Tiene que ver con programas de afiliados? En google no encuentro una respuesta que me explique bien para qué sirve y cómo se usa. Es que tengo un sitio de venta de libros online, más bien, de afiliados de amazon, con sus banner y enlaces a productos. Pero al hacer clic en ellos se van de mi sitio y no quiero. Entonces quizás mi solución sea que compren desde mi sitio, teniendo API de amazon.
Disculpen si estoy diciendo una tontería, pero no conozco este concepto. Agradecería mucho si pueden ayudarme.
Saludos!