Mondjuk úgy, hogy eléggé elterjedt, hogy csak egy adott credential ismeretében tudsz API-t hívni, akárki gyütt-ment nem tudja meghívni az API-t. Ha meg credential-t cserélsz, legyen az bármi, akkor biztosítanod kell, hogy a régi is működik egy ideig.
Szóval a user authentikálja magát egy API-ba, miért kellene központilag megváltoztatni a jelszavát (periodikusan)?
Vagy valami shared credential-re gondolsz, ami kliens oldalon meg van osztva?