Die zweite Methode ist meiner Meinung nach ausreichend, OAuth ist nicht nötig. Anstatt des fixen Tokens können auch zeitbasierte Auth-Codes (so wie bei den Authenticator Apps) verwendet werden, dann kann kein Zugriff durch ein abgefangenes Token mehr stattfinden.
Jepp, dahin wird die Reise wahrscheinlich gehen. Die Partnerfirma kriegt von mir Credentials und holt sich damit ein JWT bei uns ab. Damit sollte dann der Zugriff auf unsere
API genug sicher sein.