Estoy desarrollando una API REST multiusuario B2B que será invocada por la aplicación del servidor del inquilino (proveedor de cartera) (cliente seguro o confidencial) para realizar algunas operaciones en las cuentas de sus usuarios. La información de autenticación del usuario permanece en el servidor del inquilino & solo se requiere la autenticación / autorización del inquilino al final.
Estoy usando Java y Spring para dev. Buscando la mejor opción para asegurar mis APIs. He investigado OAuth (1 & 2) pero no estoy seguro si encaja bien en mi caso.