"разработчики приложений" — это свои люди или зловреды какие-то, кто расхакивает апи? если свои, то можно им выдать просто другой урл. если "зловреды", то, да, в случае анонимов не отделить будет мух от котлет. вернее, можно отделить по набору признаков специально тренированной нейронной сетью.

У нас тут дискуссия с разработчиками приложений. Бэкэнд слабый, усилить его пока нет возможности. Я им рекомендовал уменьшить количество запросов, чтобы клиент не тормозил. Говорю, если, не дай бог, будет наплыв левых клиентов, то их приложения встанут раком. Они говорят, давай разрешим запросы только нашим приложениям. Я пытаюсь объяснить, что в общем случае это невозможно, поскольку все клиенты анонимные. Да и возни много, не стоит на это тратить время. Они не верят.

Я ничего хорошего не нагуглил, вот и спрашиваю.

У меня дурацкий вопрос, но всё же задам.
Есть мобильное приложение, которое ходит на бэкэнд за данными. На бэкэнде работает Perl и возвращает красивый JSON.
Как можно научить бэкэнд распознавать, что запросы приходят от приложения, а не от левого клиента?

Это делается с помощью HTTP заголовков. Я такое дело как-то реализовывал

Каких именно?

Какой заголовок?

И как это спасёт от левых клиентов?

Голову надо включить просто

Ок, пиши, когда включишь.

И как это спасёт от левых клиентов?

Левым не рассказывай про заголовок :-)

А как они их посмотрят если их добавляет клиент?