レシート検証用サーバーAPIで認証機能は必要かどうか (in-app purchase)
サーバーとの通信のないローカルのみで動く、iOSアプリを運営しています。
この度、継続課金機能導入のため、レシート検証用に独自サーバー・APIを作成したのですが、
レシート検証のEndpointのみでも安全のためアクセストークンによる認証機能(例: JWT)は実装すべきでしょうか?
アクセストークンを用いず、クライアントがこのAPIを叩くのはセキュリティ上まずいでしょうか?
レシート検証以外でクライアントがこのAPIを叩く予定は今のところありません。ちなみにクライアント側にはログイン機能はなく、初回起動時にUUIDを自動作成し、クライアントのローカルDB(Realm)で保持しています。
サーバー側は初心者のため、よろしくお願いいたします。