ужно спроектировать мобильное приложение, которое взаимодействует с предоставленным API для обмена данными и информацией, и я читал о безопасности API, Oauth 2, токенах, .... и т. Д., Но что-то мне до сих пор не ясно, следующие важные моменты:

API предоставлен третьей стороной в виде черного ящика, безопасность не реализована, поэтому вы можете запрашивать данные, принадлежащие любому пользователю.

Пользователь должен использовать наше приложение, войти в систему с именем пользователя / паролем и получить доступ только к своим данным. (должно быть очень безопасно, потому что мы должны заплатить много, если безопасность была нарушена)

решение должно быть реализовано и размещено самостоятельно, а не от стороннего или облачного провайдера.

Пример вызова API:

....base url...../{subscriber-ID}/offers

При вышеуказанном вызове вы получаете подходящие предложения для подписчика, чей ID равен {subscriber-ID}, поэтому, очевидно, без защиты я могу запрашивать предложения для любого подписчика, но моя цель - связать между пользователем / паролем и запросить только данные, относящиеся к желаемый пользователь.

Я много читаю, но я в замешательстве, так как я новичок в безопасности API. так с чего мне начать? Как я могу извлечь выгоду из Oauth 2 в моем случае? просто нужна дорожная карта, а не как реализовать.