Sto progettando un'API REST basata su API Web .NET a cui accedere tramite un'app mobile simile alla banca.
Prevediamo di utilizzare il flusso del proprietario delle risorse di OAuth 2.0 per l'autorizzazione. Tutte le richieste passeranno attraverso HTTPS con certificato server e includeranno il token di accesso aggiornabile firmato ricevuto dal server di autorizzazione.
Quali altre misure di sicurezza dovrebbero essere implementate dall'API e dal client mobile in questo contesto di sicurezza.
È necessaria la chiave di richiesta: la firma HMAC è simile a AWS? È necessaria la crittografia dei messaggi? Che cosa solitamente le app di mobile banking implementano in questo scenario? È necessario tenere traccia delle istanze installate nell'app (richiedendo loro di inviare un Guid con la richiesta del token di accesso)
Sarebbe molto apprezzata una serie specifica di istruzioni consigliate per le API di mobile banking. Come fanno Chase, Wells Fargo, Bank of America, ecc.?