Estoy probando una aplicación móvil que realiza solicitudes a un servicio web. El servicio web tiene dos conjuntos de funciones. Se pueden llamar a las funciones de Clase A antes del inicio de sesión y se pueden llamar a las funciones de Clase B después del inicio de sesión. Las funciones de Clase B están protegidas por las credenciales del usuario y solo se pueden llamar si el usuario inicia sesión y recupera un token. Las funciones de clase A, por otro lado, pueden ser llamadas por cualquier persona. El equipo de desarrollo usó autenticación básica. para proteger estos servicios de los usuarios normales de Internet, pero ponen el nombre de usuario y la contraseña en la aplicación. Las credenciales están codificadas en la aplicación. No me gusta mantener estos datos en la aplicación porque, si por alguna razón necesitamos cambiar la contraseña, debemos enviar una actualización a todos los usuarios. Si un usuario no actualiza su aplicación, no puede iniciar sesión porque la solicitud de inicio de sesión debe enviarse con credenciales de autenticación básicas. Pedí a los desarrolladores que eliminen las credenciales de la aplicación y ellos pidieron una reunión. Tengo que defender mi caso y ofrecer una alternativa. ¿Hay alguna otra buena razón para no mantener estas credenciales en la aplicación y cuál es la mejor práctica a seguir? Gracias.