Обеспечение API отдыха с Facebook Oauth

Я строю приложение / API, который позволяет пользователю войти в систему с Facebook, Twitter или Google. Мне интересно, каковы лучшие практики, позволяющие тем пользователям использовать одну и ту же учетную запись, чтобы войти в API.

1. Пара идеи, которые у меня были, передают токен / cookie auth Token в заголовке к API для каждого запроса и используют это для аутентификации на бэкэнде.
2. Запустите мою собственную настройку OAUTH и сделайте пользователю аутентифицировать один раз с помощью задней части, чтобы получить мой токен OAuth и использовать их от.