OAuth, возможно, был настолько популярен из-за его принятия крупными социальными игроками, как Google, Facebook и Twitter.
(1) Сказав, что вы можете и это действительно уже используются в широком спектре приложений, которые не имеют ничего общего с социальными логинами.
(2) До OAuth2, предприятия были в основном с использованием SAML или WS-Federation для решения аутентификации и авторизации вопросы. Наиболее распространенным сценарием для этих протоколов было внедрение решения SSO (Single Sign On). Хотя они все еще активно используются сегодня, тенденция будет заключаться в том, чтобы вы приняли OAuth2 и/или OpenID Connect в качестве альтернатив.
(3) Как вы сказали, если у вас есть система, которая потребляет лексемы это, вероятно, не будет заботиться, какая технология используется для создания маркеров и вместо этого имеет отношение только в обеспечении токен является действительным. Это означало бы, что да, вы можете сами создавать маркеры, если они отвечают потребительским критериям (или вы адаптируете потребителя для соответствия критериям производителя). Следует, однако, учитывать несколько вещей ...
Это очень легко сделать работу аутентификации в смысле - яй, мой пользователь может проверить подлинность.
Это значительно сложно сделать это безопасным способом, так что вы не до конца с - блин, мое приложение только что принадлежит.
Имея возможность сделать это, вы должны делегировать все, что сможете, в доверенную стороннюю библиотеку или службу, ориентированную на аутентификацию, и которая будет поддерживать темпы в постоянно меняющемся ландшафте безопасности. Если вы ищете варианты, я бы порекомендовал проверку Auth0; конечно, вы должны знать, что я предвзятый, потому что я там работал.