API (via HTTPS) sicher gestalten

Hallo zusammen

Für ein Webapp brauche ich noch eine API mit welcher via Java und iOS auf eine Datenbank zugegriffen und in diese teilweise geschrieben werden kann.

Wenn möglich sollte das ganze einfach via HTTPS Request funktionieren.

Ich denke, ich übernehme mich da ein wenig, aber es sollte für einen "Bösewicht" nicht möglich sein, mit Wireshark den Header auszulesen und ihn zu reproduzieren.

Ich könnte einen Code/Zertifikat in das Java/iOS Programm einbinden und die Antwort damit entschlüsseln, aber auch hier gäbe es sicherlich die Möglichkeit, dieses Zertifikat zu extrahieren.

Ich brauche keine fertigen Lösungen natürlich, aber wenn es den einen oder anderen Hinweis gibt, in welche Richtung ich weiter suchen müsste wäre ich schon mal froh.

Bereits gelesen habe ich:
security - Securing an API: SSL & HTTP Basic Authentication vs Signature - Stack Overflow
API security question: SSL or more? - Stack Overflow

Dort wird jeweils gesagt das SSL ausreicht und das SSL nicht ausreicht

Wenn ich nun will, dass nur das Java/iOS Programm die API benutzen kann hätte ich da noch weitere Möglichkeiten?
Weil selbst wenn ich noch mit einem im Sourcecode hinterlegten Passwort ver-/entschlüssle, könnte man immernoch den kompilierten Code dekompilieren und so eventuell an das Passwort kommen.

Was für weitere Methoden könnte ich nutzen?
Für jede Aktion zuerst einen temporären Schlüssel erstellen und diesen nach einer Aktion wieder verfallen lassen?

Hi,

ist das mit dem Decompilieren wirklich so einfach?

Generell würde ich ein User-Secret vergeben, welches für jeden User eindeutig ist. So kann ein Angreifer erstmal nur seine eigenen Requests "fälschen". Ein Aussperren des selbigen, sollte dann ja kein Problem darstellen.