He creado una API REST, y ahora estoy pensando en la autenticación. Quiero que el flujo de la aplicación móvil para el usuario sea muy simple: solo tendrá que ingresar un nombre de usuario y luego este nombre de usuario junto con 'alguna contraseña' se usará para autenticar al usuario en cada llamada a la API (usando campos de encabezado, sobre SSL).
¿Es esta una buena manera de autenticar al usuario con el menor problema posible para el usuario? Creo que Whatsapp utilizó un enfoque similar, utilizando la dirección MAC del dispositivo como contraseña, y permitió al usuario ingresar su número de teléfono como nombre de usuario. También una vez leí algunas críticas sobre este enfoque, pero si esto es tan malo, ¿cuál es la mejor manera de hacerlo?
Básicamente, lo que busco es una manera de autenticar con la menor cantidad de información posible del usuario (solo un nombre de usuario), con una cuenta por dispositivo como máximo, pero aún así es seguro para las llamadas a mi api . ¿Existe tal enfoque? Si es así, ¿cómo iría?