Авторизация пользователя в веб-приложение, работающее через oAuth аудентификация к REST API?

Question

[Khmelevskii]

Есть свой REST API сервис, доступ к которому осуществляется через свой oAuth2 сервер. Допустим, адрес этого сервиса api.myproject.com. Есть веб-приложение myproject.com, которое только отрисовывает интерфейс на основе полученных данных через REST API и выполняет нужные операции через тот же REST API.

Вопрос, как пользователь может авторизоваться в это приложение?

Мои варианты:

• У этого приложения должен быть небольшой бэкенд, который хранит всех пользователей и авторизует их(посредством сессий). Уже после авторизации в приложение, оно начинает общается с REST API передавая дополнительно user_id. Наверное плохой вариант.
  
• Веб-приложение без бэкенда. Авторизация по логину и паролю проходит через тот-же REST API, отправляя запрос на api.myproject.com, в ответ приходит access_tocken пользователя. Сессий никаких нет. Вся последующая работа ведется через этот tocken пользовалея. Не уверен что это нормальное решение.
  

Собственно вопрос: какой механизм авторизации пользователей в веб приложение(в дальнейшем еще и мобильное приложение), задача которого только отрисовывать интерфейс получая/отправляя данные через REST API.

Answer 1

[Сергей Протько]

вы уже используете OAuth для авторизации, для аунтентификации можете использовать JWT. Обмен креденшелами должен происходить исключительно с OAuth сервером (по сути первый вариант).

Answer 2

[Khmelevskii]

то есть:

веб приложение: myproject.com (без бекенда)
аунтефикация с помощью JWT отправляется на login.myproject.com (получаем tocken и user_id)
далее myproject.com общается с api.myproject.com авторизовавшись с помощью oAuth, передавая дополнительно user_id

я все верное понял?