Как люди справляются с аутентификацией для RESTful API (независимо от технологии)

я подумываю о создании мобильных приложений.Поэтому эти приложения будут «общаться» с моим сервером через JSON и REST (например, помещать, публиковать и т. д.).

Если я хочу убедиться, что клиентское телефонное приложение пытается сделать что-то, что требует определенного «разрешения», как мне справиться с этим?

Например:

Наш веб-сайт продает вещи -> телевизоры, автомобили, платья и т. д. API будет позволить людям просматривать магазин и покупать товары. Чтобы купить, нужно быть «зарегистрированным». Мне нужно убедиться, что человек, использующий их мобильный телефон, на самом деле они.

Как это можно сделать?

Я посмотрел, как твиттер делает это со своим OAuth... и похоже, что у них есть ряд значений в ЗАГОЛОВКЕ ЗАПРОСА? Если да (и мне вроде как нравится этот подход), возможно ли, что я могу использовать другую третью сторону в качестве веб-сайта для хранения имени пользователя/пароля (например, твиттер или Facebook являются поставщиками OAuth) ... и все, что я делаю, это как-то получить пользовательские данные заголовка ... и убедитесь, что они существуют в моей базе данных ... еще ... заставить их аутентифицироваться с помощью своего поставщика OAuth?

Или есть другой способ?

ПС. Мне действительно не нравится идея иметь ключ API - я чувствую, что его можно слишком легко передать другому человеку для использования (что мы не можем рисковать).