Мы находимся в процессе обновления нашего API на стороне сервера, и нам необходимо управлять безопасностью. Наша текущая модель требует, чтобы объект учетных данных (содержащий пользователя, пароль и пин-код) был включен в каждый вызов метода. Наша команда разработчиков, однако, решила, что вместо этого у нас должны быть объекты сеанса (что меня устраивает), но новые учетные данные — это просто GUID. Это очень отличается от того, что я видел в других API в нашей отрасли, поэтому я немного обеспокоен тем, насколько безопасной будет новая модель. Я спросил их, проанализировали ли они обе альтернативы, и они сказали, что нет.
Кто-нибудь знает, есть ли явные преимущества, недостатки, риски и т. д. использования набора учетных данных по сравнению с одним элементом (каким бы сложным он ни был)?
PS: канал связи будет безопасным в любом случае, и он не связан с этой конкретной темой.