Necesito crear una API REST a la que se pueda acceder a través de HTTPS cuando se me proporcionen credenciales válidas.
¿Cómo debo implementar esas credenciales?
Estoy buscando consejos sobre si debo usar contraseñas antiguas o tokens u otras cosas, y por qué debo hacerlo.
No busco un tutorial sobre cómo configurar esto (aunque no me enojaré si lo hubiera)
Tienes muchas opciones y debes elegir la mejor según tus necesidades. Los sistemas de autenticación dirigidos a sistemas automatizados tienen diferentes requisitos de usabilidad que los usuarios.
Por ejemplo, los usuarios generalmente no desean presentar su contraseña con cada solicitud o manejar contraseñas largas y complicadas. El código que llama a tu API no tiene esos problemas.
Internamente, probablemente debas almacenar tokens o contraseñas de api de la misma forma que lo haces con las contraseñas de los usuarios: dártelas con un valor aleatorio largo y córtelas con un algoritmo razonable.
También tiene la opción de utilizar certificados de cliente en los que confía su aplicación. Más complicado de configurar, pero no tiene que pasar los materiales de credenciales confidenciales entre sistemas.
Una vez más, todas estas opciones deben ser examinadas contra los requisitos de seguridad del sistema. Si está asegurando los códigos de lanzamiento de un banco o misil, querrá tener estándares más altos que el API para un sitio web informal.
Lea otras preguntas en las etiquetas web-application rest permissions