Estoy diseñando una API REST basada en API web .NET a la que se podría acceder a través de una aplicación similar a la banca móvil.
Planeamos utilizar el flujo del Propietario de recursos de OAuth 2.0 para la autorización. Todas las solicitudes pasarán a través de HTTPS con el certificado del servidor e incluirán el token de acceso renovable firmado recibido por el Servidor de Autorización.
¿Qué otras medidas de seguridad deben ser implementadas por la API y el cliente móvil en este contexto de seguridad?
¿Es necesario que la clave de solicitud-HMAC sea similar a AWS? ¿Es necesario el cifrado de mensajes? ¿Qué suelen implementar las aplicaciones de banca móvil en este escenario? ¿Es necesario realizar un seguimiento de las instancias instaladas de la aplicación (al hacer que envíen un Guid con la solicitud de token de acceso)
Un conjunto específico de instrucciones del mundo real recomendado para las API de banca móvil sería muy apreciado. ¿Cómo lo hacen Chase, Wells Fargo, Bank of America, etc.?