куча людей первым делом отключают обновление в ОСи на компе /телефоне.

ну выше ты не про принудительное обновление ПО пишешь, а про "заставлять пользователя", а если прям Пошку можно удаленно принудительно обвноить, то для пользователя это выход, но опять же дыра для хацкеров.

Если клиент требует подключение интенета, что бы работать - то нет ни каких проблем его обновлять. Это меньшее из зол - просто заставить юзера обновить клиент. Иначе идёт лесом.

тут только постоянно грабли какие то придумывать и менять их, чтобы хацкером "надоело"

кажется что не изобретай, либо подпись, либо csrf получается )

auth то по jwt конечно

Да, это уже давно все поняли, лучший способ бороться с крякерами - как можно чаще выпускать обновления, что бы крякры просто неуспевали их взалмывать.

И рыбку съесть и на х.. сесть :(

Буратины, что ещё сказать 😊

не, на такое продукт овнеры не согласные конечно. тем более что релиз в сторы это каждый раз какой-то геморрой, это не бек катить

Возможно ли утекание ключей на клиенте решить на сервере?

А если старые клиенты начнут дидосить бекенд, они тоже будут на это смотреть спокойно?
У нас такое вот было и не было нормального способа удалённо остановить клиенты от такого поведения. Единственное что понимало приложение - это разлогин. Пришлось так и делать - разлогинить клиент, но юзер при этом ничего не видел, т.к. приложение работало в фоне. Пока юзер не зайдёт в приложение, он не поймёт что оно давно не работает.
А когда есть бан по версии клиента - это гораздо надёжнее, и можно юзерам показать нормальное сообщение о проблеме, вместо того что бы молча его разлогинивать.
Так же можно сделать deprecate "уровень", когда старые клиенты сначала будут регулярно ругаться и требовать обновления, и сообщать про день X, когда они станут тыквой.

у нас есть hard-update для очень старых версий, на которых по метрикам сидит мало (не знаю формализовано ли у нас понятие "малости") пользователей, а на тех версиях, которые активно используются никто не готов такие штуки проделывать. заботимся о лояльности так сказать )

ну вопрос про комплекс, может есть варианты когда ключ нельзя достать (на iOS он вроде как и не выковыривается, и с дезассемблированием там сложнее, но это не точно)

Ну что же - медленно стреляете себе в ногу. Я бы ещё понял такие старания, если бы клиент не требовал интернета, работал только в офлайне.
Но если ему всяко нужен интернет, то значит нет вообще ни каких проблем обновить приложение. В современных мобилках это элементарное действие. Главное вовремя предупредить пользователей о том, что им надо обновиться, что бы не оказаться с "тыквой" в самый неподходящий момент.

На крякнутых iOS скорее всего можно делать всё что угодно. Вопрос только в том как много времени это займёт.

Ломают даже всякие "анклавы" в CPU для аппаратной работы с ключами

Как человек с некоторым опытом в скрапинге, могу сказать вот что: в среднем, такие скраперы и боты пишут люди с не самой высокой квалификацией, так что я очень сильно сомневаюсь, что они будут расковыривать приложение в поисках, где же там ключ. Это делают очень дорогие люди, и значит, заказчику прямо надо-надо.

Я видел такие АПИ. Чаще всего эти ваши секретные ключи там просто бегают в запросах как bearer-токены.

Не бегают. На сервере подсасываются из волта и используются только для проверки запроса, а в мобилку при билде шьются (я ничего в мобильной разработке не понимаю, так что не знаю нюансов).

Бегает только подпись/хэш в отдельном заголовке.

HMAC по запросу?