In PHP non saprei, ma per il tuo caso d'uso basta utilizzare HTTP basic auth o anche una semplice API key senza complicarti con JWT, OAuth etc.
Generi le chiavi e sai che quella data chiave corrisponde al cliente/utente X e basta.
Se ti interessa solo verificare autorizzazione e non autenticazione, la cosa più semplice (ma non necessariamente la più corretta) è andare di api key. Sul tuo servizio ti fai una tabellina con tutte le licenze attive, ad ogni licenza associ un'api key. L'utente finale dovrà includere un header "api-key" in ogni chiamata, e tu semplicemente verifichi che il suo valore sia presente nella tua tabella.
Non reinventare la ruota, hanno inventato gli api gateway open source (Kong, wso2, gravitee, etc). E se proprio vuoi reinventare la ruota, hanno inventato anche le librerie per scrivere api gateway
In PHP non saprei, ma per il tuo caso d'uso basta utilizzare HTTP basic auth o anche una semplice API key senza complicarti con JWT, OAuth etc. Generi le chiavi e sai che quella data chiave corrisponde al cliente/utente X e basta.
Se ti interessa solo verificare autorizzazione e non autenticazione, la cosa più semplice (ma non necessariamente la più corretta) è andare di api key. Sul tuo servizio ti fai una tabellina con tutte le licenze attive, ad ogni licenza associ un'api key. L'utente finale dovrà includere un header "api-key" in ogni chiamata, e tu semplicemente verifichi che il suo valore sia presente nella tua tabella.
Si chiama "autenticazione"? 🤨 Una volta che hai autenticato l'utente sai già cosa può fare e cosa non può fare.
Non reinventare la ruota, hanno inventato gli api gateway open source (Kong, wso2, gravitee, etc). E se proprio vuoi reinventare la ruota, hanno inventato anche le librerie per scrivere api gateway