一般論として少しコメントします。
※ 私が正しいことを言っている保証もないので、鵜呑みにしないで自分でもう一度調べて考えられることをオススメします。
■ 技術的な必然
- 単一の認証情報(ID/PW)をアプリに埋め込む場合、そのアプリの利用者は自由にその権限を(アプリの実装範囲を超えて)使うことができる可能性があることにまず注意しましょう
- 逆に、ユーザが個別にユーザ作成・ログインを行う場合は、個別の認証情報が個々のアプリに残ることになるので、ユーザ毎に異なる権限を設定できる余地があります。(余地はあるが、適切に運用していないと当然意味はないですが)。
■ アプリケーション的な話
- 誰が使うアプリなのか(家族しか使わないなら、単一の認証情報でも良いかもしれない→誰に何を見られても改ざんされても問題ない、とする。アプリも第三者に渡らないように管理する)
- どういうデータを読み書きするのか(他人にばれたら困るような内容なのか)(秘密のルームが作れるべき、なら単一の認証情報だと難しいかもしれない)
→→ 例えば、「個人情報はかかないで下さい」とアプリでお願いしていても、書く人がいてそれの管理が不適切で漏洩などあれば、アプリ運用者の問題となることはありそう。
とりあえず認証したユーザーにだけ許可したら大丈夫だろうと思っているのですが、認証は匿名認証でも大丈夫なのでしょうか?
「とりあえず認証したユーザー」というのが何を指すのか次第ですが、それが「単一の認証をアプリに埋め込む」とすれば、
大丈夫かどうかは、上述の「アプリケーション的な話」次第かと思います。
1チャンネルのみのOpenなチャットで、全ての情報が全てのアプリ利用者に開示される仕様なら、問題ないかもしれないです。
「攻撃を防ぐために匿名認証させるー>認証しているかで全ての読み取り、書き込みを許可」という方法は効果的ですか?
これはどういう攻撃を防いでいるつもりかで、効果的かどうかが変わるでしょう。
何かしらのアクセス制御があれば「遊び程度のcracking」を防ぐ効果はあるでしょう。
ただ真面目にいたずらしようとしているケースに対応できるかは、
色々自分で攻撃の種類を想定して考える必要があります。