与外部提供商一起创建用于身份验证的安全服务

Question

我想获得一些有关如何处理身份验证以使我的 Restful 服务能够支持的指导几个不同的场景，看到包含的图片吗？ 我已经考虑这个问题几个星期了，但没有找到所有情况的解决方案，即使我会做出权衡，我也会遇到问题

如果我们跳过移动应用程序和 Curl 的使用，无需向公众公开服务，并且可以对服务器到服务器的通信使用基本身份验证。但是我们仍然需要在“仅限忍者的网站”上承担一些责任，以将（openid 身份验证的用户）作为 http 标头的一部分传递？

在这种情况下，我们使用 Google 应用程序来管理同事的凭据，如果可以避免的话，我不喜欢在服务中管理另一个用户名/密码的想法。

是否有任何可持续的解决方案可以实现我的梦想，以便我可以为客户端构建出色的功能并实现一个严格的 API 来管理特定用户对不同资源的授权？

另一种可能的解决方案可能是将服务与 openid 提供商集成，但是这样我在从“仅限忍者的网站”传递用户时会遇到问题