Tengo una API REST en el lado del servidor y una aplicación web distinta que llamaría a esas API.
Quiero asegurar mis llamadas API.
Después de algunas lecturas, quiero implementar el mecanismo OAuth 1.0a en el lado del servidor. De hecho, tratar con tokens temporales, nonces, etc. es mucho más seguro que una solución básica HTTP tradicional que depende en gran medida del cifrado SSL.
Sin embargo, en la mayoría de los ejemplos que encontré en la web, OAuth parece ser, en esencia, un medio para acceder a algunos datos de un propietario de recursos (como Facebook, Twitter, etc.) sin la necesidad de que el usuario transmita su credenciales correspondientes a mi propia aplicación.
Mi pregunta es: ¿Tiene sentido implementar OAuth si mis actores son solo mi propia aplicación web y mi propio conjunto de API en el lado del servidor (lo que significa que no están involucrados datos externos proporcionados por un tercero)? De hecho, realmente quiero beneficiarme de su algoritmo.