Ho creato una API REST, e ora sto pensando all'autenticazione. Voglio che il flusso dell'applicazione mobile per l'utente sia molto semplice: basta inserire un nome utente e poi questo nome utente insieme a "qualche password" verrà utilizzato per autenticare l'utente su ogni chiamata API (utilizzando i campi dell'intestazione, su SSL).
Questo è un buon modo per autenticare l'utente con il minimo problema possibile per l'utente? Credo che WhatsApp abbia usato un approccio simile, usando l'indirizzo MAC del dispositivo come password e lasciando che l'utente inserisca il suo numero di telefono come nome utente. Ho anche letto una volta alcune critiche su questo approccio, ma se questo è così grave, qual è il modo migliore per farlo?
Quindi in pratica quello che sto cercando è un modo per fare autenticazione con il minor numero possibile di input dell'utente (solo un nome utente), con un massimo di un account per dispositivo, ma per essere ancora sicuro per le chiamate alla mia API . Esiste un tale approccio, se sì, come andrebbe?