Estoy buscando métodos de seguridad para las API. El uso de tokens de acceso JWT después del inicio de sesión del cliente con usuario / contraseña funcionará bien para las aplicaciones web internas utilizando nuestras propias API. Sin embargo, estoy analizando cómo debemos proteger nuestras API externas que otros sistemas / clientes pueden usar para consumir datos.
Por lo general, veo servicios de API que proporcionan un client_id y client_secret. Sin embargo, esto termina siendo usado en OAuth2, que preferiría no tener que implementar ya que no estoy seguro de una implementación exitosa y segura de una especificación tan grande y tampoco quiero depender de auth0.
Creo que si utilizo JWT simple para las API externas consumidas por las aplicaciones, tendré que tener un tipo de identidad diferente al del usuario / contraseña. Como una identificación y una clave segura. ¿Qué sería lo mejor?