Nous travaillons sur un nouveau service - ce service sera potentiellement appelé directement à partir d'applications situées sur les machines des utilisateurs. Ces applications seront développées et prises en charge par plusieurs équipes de développement de toute l'organisation, en fonction des données fournies.
Nous souhaitons identifier quelles applications envoient quelles demandes afin de pouvoir identifier les modèles d'utilisation et les développeurs responsables. (Pour éviter tout doute, l'authentification de l'utilisateur est traitée séparément.)
Notre solution consiste à exiger des clés API, une par application. Nous avons ensuite les coordonnées de l'équipe de développement.
Nous ne voulons pas que les clés d'API soient une source de friction, mais nous craignons que les développeurs les partagent avec des collègues d'autres équipes, ce qui signifie que nous ne pouvons plus identifier le trafic pour une seule application.
Comment inciter les développeurs à ne pas partager les clés d'API en interne?