Аутентификация мобильных приложений с использованием Identity Server

Что такое эталонная архитектура для добавления аутентификации и авторизации в мобильное приложение. Нужна ли мне инфраструктура доступа к токенам или я могу просто использовать проверку данных токена с помощью пары закрытый-открытый ключ. Нужен ли мне выделенный сервер идентификации (например, сервер идентификации wso2), если я также хочу выпустить API разработчика.

Спасибо в Advnace

Обновление Вещи, которые я пробовал: я работал над проектом, который использует проверку на основе PKI для каждого запроса (данные токена, зашифрованные на клиенте, данные токена и зашифрованные данные, отправляемые на сервер с каждым запросом, и сервер расшифровывает для проверки клиента), это Пользовательская реализация, это, я чувствую, не лучший способ сделать это, провел некоторые фундаментальные исследования, чтобы найти правильный способ сделать это. Найдены OpenAM и WSO2 IS, которые могут подключаться к многопользовательскому хранилищу. Они поддерживают аутентификацию на основе токенов и контроль доступа на основе политик, а также другие функции.

То, что я ищу здесь: я на правильном пути, пойду ли я оценивать два продукта, учитывая, что я также хочу использовать ту же платформу и другую часть того же приложения, которое является веб-ориентированным.