Базовая аутентификация Web Api

Я знаком с тем, как Web Api обрабатывает авторизацию из коробки. Я понимаю, как вам нужно сделать первоначальный вызов / токена с моими учетными данными, а затем получить хороший длинный токен, который я храню на стороне клиента. Я тогда прохожу:

Authorizaion:Bearer xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

где xxxxxxxxxx - токен, который я получил изначально для всех последующих вызовов WebApi (с аннотацией [Authorize]).

Это действительно приятно, и все звонки сохраняются.

Но что произойдет, если вызывающее приложение не находится под моим контролем? т.е. у меня есть стороннее приложение (Mirth Connect для тех, кто заинтересован). Он будет делать только 1 вызов на сообщение (т.е. я не могу вызвать метод /Token).

Мое приложение для звонков просто запрашивает у меня:

• URL
• Метод (то есть POST)
• имя пользователя
• пароль

так что, похоже, это нормальная базовая аутентификация. (Я могу добавить другие значения заголовков, поэтому теоретически я мог бы предварительно загрузить их токеном, но это звучит очень неуклюже, и токен в конце концов истечет)

Спасибо