Прокси-сервер для защиты API и веб-приложений?

Question

[ganqqwerty]

У нас есть несколько десятков веб-сервисов с REST API, плюс несколько веб-приложений, которые эти API используют. Есть также сервер OpenId Connect (реализация MitreId). Хочется добиться следующего поведения:

1. когда пользователь заходит на одно из наших веб-приложений, его перебрасывает на страницу аутентификации Open Id Connect. Токен доступа должен храниться в cookies, не в Authorization заголовке.
   
2. когда пользователь пытается воспользоваться API с помощью, например curl, он должен предоставить правильный токен
   
3. хочется избежать модификаций наших фронтентов и бэкэндов
   
4. коробочные решения (например, конфиги для apache или nginx как прокси) - приветствуются