Sono interessato alla domanda se ci sono dei possibili vantaggi nel garantire una determinata API REST per i client Web e le app mobili con autenticazione di base http (su https ovviamente) su un sistema basato su token come ad esempio con oauth2 (anche oltre https). A quanto ho capito, il client deve salvare una qualche forma di "chiave" sia che sia utente / pw o un token di qualche tipo. I grandi vantaggi sono che un token può essere limitato nell'ambito (privilegi e tempo / scadenza) mentre le credenziali salvate sono piuttosto totali. Quindi se il client è compromesso il danno dovrebbe essere inferiore con un token (a seconda del suo ambito).
Quindi le mie domande sono se ci sono dei vantaggi, ad es. complessità delle prestazioni o dell'implementazione o qualsiasi altra cosa che giustifichi l'utilizzo delle credenziali (ad esempio http basic with ssl) sui token?