Se scegli tra le versioni OAuth, vai con OAuth 2.0.
I token al portatore OAuth devono essere utilizzati solo con un trasporto sicuro.
I token del portatore OAuth sono sicuri o insicuri solo come il trasporto che crittografa la conversazione. HTTPS si occupa della protezione dagli attacchi di replay, quindi non è necessario che il token portatore protegga anche dal replay.
Sebbene sia vero che se qualcuno intercetta il tuo token portatore può impersonarti quando chiama l'API, ci sono molti modi per mitigare tale rischio. Se dai ai tuoi token un lungo periodo di scadenza e ti aspetti che i tuoi clienti li memorizzino localmente, hai un rischio maggiore che i token vengano intercettati e utilizzati in modo improprio rispetto a se dai ai tuoi token una scadenza breve, richiedi ai clienti di acquisire nuovi token per ogni sessione, e consiglia ai clienti di non rendere persistenti i token.
Se è necessario proteggere i payload che passano attraverso più partecipanti, è necessario qualcosa di più di HTTPS / SSL, poiché HTTPS / SSL crittografa solo un collegamento del grafico. Non è colpa di OAuth.
I token bearer sono facili da ottenere per i clienti, facili da usare per le chiamate API e sono ampiamente utilizzati (con HTTPS) per proteggere le API pubbliche di Google, Facebook e molti altri servizi.