Веб-API ASP.NET (ОТДЫХ):Аутентификация с использованием учетных данных пользователя или токена? Оставить пароль ресурса «Зарегистрировать нового пользователя» без пароля?

Я пытаюсь создать службу отдыха, используя веб-API asp.net, и все работает нормально, но теперь я столкнулся с тем, что делать с аутентификацией.

Я немного запутался, с чего начать, вот что я думал.

У меня есть API-интерфейс для отдыха, который я разрабатываю и который состоит из нескольких ресурсов, для каждого ресурса потребуется регистрация пользователя, так что это лучшее действие для этого? Должен ли я просто отправлять имя пользователя и пароль в заголовке при каждом вызове службы, чтобы я мог аутентифицироваться на сервере, используя

AuthorizationFilterAttribute

Я должен хотя бы зашифровать это? Мне бы очень хотелось узнать, что делают другие, я знаю, что существует концепция создания токена (, который, я полагаю, будет недолговечным ), поэтому пользователь будет аутентифицироваться, а затем получит токен, этот токен будет затем направляются на дальнейшие обращения в службу. Полагаю, токен должен быть недолговечным? Итак, как мне решить проблему, когда срок действия токена истекает?

У меня также есть ресурс, который используется для регистрации нового пользователя, на самом деле единственные вещи, которые будут вызывать это, — это мои клиенты (android, iphone ). ТАК должен ли я оставить его СВОБОДНЫМ от каких-либо методов аутентификации или поставить жестко закодированный пароль или что-то подобное, чтобы, по крайней мере, никто другой не мог регистрировать новых пользователей? Имея в виду, что сервис будет общедоступным в Интернете.

Я был бы очень признателен за любой отзыв по этому поводу.

Кажется, я просто не могу найти правильный способ сделать это, я, конечно, хочу попробовать сделать это правильно с первого раза, чтобы мне не пришлось полностью реорганизовывать сервис.

Заранее спасибо