Зависит от протокола.
Если запросы на обслуживание находятся в незашифрованном виде (http), возможно, вы захотите рассмотреть безопасную (https) транзакцию входа в систему, которая дает вам токен ограниченного времени для авторизации.будущие запросы (сессионный cookie, по сути).Тогда, по крайней мере, перехватчики не получат учетные данные, которые будут работать вечно, только в течение ограниченного периода.
Аналогично, даже если транзакция входа в систему небезопасна, по крайней мере, если это происходит только тогда, когда подслушивать немного сложнее.Его также немного сложнее использовать.
Если вас не волнует безопасность, я бы даже не использовал имя пользователя / пароль, просто ключ API.Суммирует то же самое, но если пользователь не выберет его, то, по крайней мере, он не будет похож ни на один из своих других паролей, поэтому он не повлияет на что-либо еще при краже.
Есливы достаточно заботитесь о безопасности, чтобы все было сделано по протоколу https, тогда на самом деле не имеет большого значения, какой механизм идентификации вы используете, AFAIK.Так что сделайте что-нибудь простое.
Наконец, вы можете заботиться о безопасности аутентификации, но не о секретности самих запросов.Таким образом, вы не возражаете против подслушивающих, видящих данные в полете, вы просто не хотите, чтобы они могли выдавать собственные запросы (или подделывать ответы).В этом случае вы могли бы подписать запросы (и ответы), используя пару открытых / закрытых ключей или общий секретный ключ с HMAC.Это может быть (или не может) быть проще в настройке и с меньшей пропускной способностью, чем SSL.Остерегайтесь повторных атак.