Vous ne pouvez pas. Tant que vous placez l'information dans un endroit incontrôlé, vous devez supposer que l'information sera diffusée. Le cryptage ne s'applique pas vraiment, car les seules approches basées sur le cryptage impliquent de conserver une clé du côté client.
La seule vraie solution consiste à mettre la valeur du service dans le service lui-même et à faire en sorte que le client de bureau soit un moyen peu coûteux d'accéder à ce service. Les MMORPG font ceci: vous pouvez télécharger les jeux gratuitement, mais vous devez vous inscrire pour jouer. La valeur est dans le service, et la capacité à se connecter au service est contrôlée par le service (il authentifie les joueurs lors de leur première connexion).
Ou, vous faites juste trop de mal pour briser la sécurité. Par exemple, en mettant une vérification des informations d'identification au début et à la fin de chaque méthode. Et, parce que quelqu'un finira par créer un binaire qui corrige toutes ces vérifications, en chargeant des morceaux de l'application à partir du serveur. Avec des informations d'identification et des contrôles d'horodatage en place, et en utilisant une disposition de mémoire différente pour chaque téléchargement.
Votre commentaire propose un scénario beaucoup plus simple. Les entreprises sont beaucoup plus motivées à protéger l'accès au service, et des ententes juridiques seront en vigueur concernant votre responsabilité si elles ne protègent pas l'accès.
L'approche la plus simple est ce que Amazon fait: fournir une clé secrète, et exiger que tous les clients chiffrent avec cette clé secrète. Oui, les employés voyous au sein de ces entreprises peuvent s'en sortir avec le secret. Ainsi, vous donnez à l'entreprise l'option (ou peut-être l'exigez) de changer la clé régulièrement. Peut-être quotidiennement.
Vous pouvez améliorer cela avec un contrôle IP sur tous les accès: chaque client vous fournira un ensemble d'adresses IP valides. Si quelqu'un sort avec le logiciel de bureau, ils ne peuvent toujours pas l'utiliser.
Ou, vous pouvez demander que votre service soit mandaté par l'entreprise. Ceci est particulièrement utile si le service n'est accessible qu'à partir de l'intérieur du pare-feu de l'entreprise.
Inspirez-vous de oAuth. – jldupont