La mejor práctica es no almacenar las credenciales de acceso dentro del programa. Las aplicaciones no siempre contienen (a menos que estén mal diseñadas) credenciales específicas dentro de ellas para acceder a la API.
Si bien la adición de credenciales en el código puede disuadir a los atacantes generales, no detendrá a los atacantes que pueden abrir el paquete y extraer los detalles. Como algo que puede ser descifrado por unos pocos se considera vulnerable, la forma correcta de implementarlo sería la siguiente.
- No agregue credenciales en la APLICACIÓN
- Cuando la aplicación está instalada, genere credenciales y regístrese con el servidor. (podría ser un nombre de usuario y contraseña o podría ser un certificado del lado del cliente)
- Obtenga un token de acceso con estas credenciales.
- Use el token de acceso para acceder a la API
Como puede controlar de manera eficiente el proceso de registro y puede permitir el acceso a partes seguras de la API según el token de acceso, su implementación debería ser lo suficientemente segura si usa SSL / TLS para ellos.