Preciso projetar um aplicativo móvel que interaja com uma API fornecida para trocar dados e informações e li sobre segurança da API, Oauth 2, tokens, etc. etc., mas algo ainda não está claro para mim. os pontos importantes:

API fornecida por terceiros como uma caixa preta, sem segurança implementada, para que você possa consultar dados pertencentes a qualquer usuário.

um usuário deve usar nosso aplicativo, entrar com um usuário / senha e obter acesso apenas aos dados dele. (deve ser muito seguro, porque devemos pagar muito se a segurança for quebrada)

a solução precisa ser implementada e auto-hospedada, não de um terceiro ou provedor de nuvem.

exemplo de uma chamada de API:

....base url...../{subscriber-ID}/offers

a chamada acima obtém as ofertas adequadas para um assinante cujo ID é {subscriber-ID}; portanto, obviamente, sem segurança, posso consultar ofertas para qualquer assinante, mas meu objetivo é vincular usuário / senha e consultar apenas dados relacionados ao usuário desejado.

Eu leio muito, mas estou confuso, pois sou novo em segurança de API. então por onde devo começar? como posso me beneficiar do Oauth 2 no meu caso? só precisa de um roteiro, não de como implementar.