Sto testando un'app mobile che effettua richieste a un servizio web. Il servizio Web ha due serie di funzioni. Le funzioni di classe A possono essere richiamate prima dell'accesso e le funzioni di classe B possono essere richiamate dopo il login. Le funzioni di classe B sono protette dalle credenziali dell'utente e possono essere richiamate solo se l'utente ha effettuato l'accesso e ha recuperato un token. D'altra parte le funzioni di classe A possono essere chiamate da chiunque. Il team di sviluppo ha utilizzato l'autenticazione di base. per proteggere questi servizi dagli utenti ordinari di Internet ma inseriscono il nome utente e la password nell'applicazione. Le credenziali sono codificate nell'applicazione. Non mi piace mantenere questi dati nell'app perché, se per qualsiasi motivo dovessimo cambiare la password, dobbiamo inviare un aggiornamento a tutti gli utenti. Se un utente non aggiorna la propria app, non può accedere perché la richiesta di accesso deve essere inviata con credenziali di autenticazione di base. Ho chiesto agli sviluppatori di rimuovere le credenziali dall'app e hanno chiesto una riunione. Devo difendere il mio caso e offrire un'alternativa. C'è qualche altra buona ragione per non mantenere queste credenziali nell'app e qual è la migliore pratica da seguire? Grazie.