Al momento sarà una mobile app ad accedere
Se la mobile app verrà usata da diversi utenti, ciascuno dovrà avere il suo personale username e password. In questo caso puoi usare l'autenticazione basata su JWT Token. Per prima cosa crei un'action nella tua web api che permette di inviare username e password e che restituisca un JWT Token. La mobile app memorizzerà questo token sul device e lo reinvierà a ogni successiva richiesta. Il JWT Token ha una scadenza e quindi, fintanto che l'utente usa la mobile app, dovrai fare in modo di rinnovarlo automaticamente quando sta per scadere.
Non memorizzare username e password sulla mobile app ma lascia che l'utente li reinserisca ogni volta dopo un periodo di inattività. Dal momento che si tratta di dati aziendali è meglio forse costringere gli utenti a riloggarsi dopo un periodo di inattività che lasciare che chiunque possa vedere i dati se il device viene smarrito. (Oppure puoi lasciare la scelta all'utente ed emettere un JWT Token con scadenza più lunga se è lui a richiederlo esplicitamente).
permettere di fare importazioni massive anche da applicazioni o web application esterne che non sempre sono le nostre.
Questo è uno scenario di utilizzo differente. Per questo aggiungerei un altro scheme di autenticazione oltre a JWT Token, basato su Basic Authentication. Infatti, l'applicazione esterna non corre il rischio di essere "smarrita" ma si presuppone che sia al sicuro in un server. Quindi può anche andar bene fargli fornire sempre username e password che non hanno scadenza. Oppure, se inviare username e password con ogni richiesta (seppur protetta da HTTPS) non rispetta i vostri standard di sicurezza, puoi usare l'autenticazione basata su
certificati client.
ciao,
Moreno
