Как подписывать API запросы между Android и Бекенд сервером?

У нас в компании на стороне Android и iOS приложения используется авторизация через СМС.

Но в последнее время участились случаи атак по типу смс-бомбера
С куча IP адресов шлют разные телефоны на регистрацию/авторизацию
Смс дело не дешевое, около 2 рублей за 1 штуку.
Секретности в передаче данных нету, суть в том чтобы отправлялись запросы только с реальных устройств. Понятно что, от опытного хакера не защититься, но хотя бы от мамкиных хакеров

Есть вариант подписания запросов:

• Приложение шлет запрос авторизации на сервер с номером телефона
• Сервер приложения формирует подпись исходя из номера телефона, текущего времени и какого нибудь хеша
• Отправляет приложению API-KEY
• Приложение генерирует подпись из телефона и API-KEY и отправляет обратно на сервер – телефон, API-KEY и свою подпись
• Сервер проверяет и отправляет смс

Может кто может предложить свой вариант ?