Как защитить API с помощью mod_auth_openidc

У меня 3 заявки

• старое Java-приложение на основе JSP
• Spring Boot webapp
• СПА
• API-интерфейс REST для Java-сервисов, созданный с использованием Spring Boot

Мне нужно обезопасить их всех одновременно. Я выбрал брелок, как мне показалось, хорошей идеей. Как мы используем Apache для обратного прокси. Мы выбрали mod_auth_openidc для ограничения доступа к сервисам на уровне обратного прокси.

Мы создали расширения для Spring Webapp и старого приложения JSP для использования заголовков, предоставляемых mod_auth_openidc, для обработки активных пользователей и проверки подлинности.

На данный момент мы столкнулись с проблемой, что мы также защищали API, используя заголовки mod_auth_openidc. Хотя это имеет серьезный недостаток, так как API не могут общаться друг с другом, просто используя токены JWT, поскольку обратный прокси-сервер требует их аутентификации.

Должны ли мы защищать API, используя только JWT?

Любой гуру mod_auth_openidc знает лучший подход к этому сценарию?

Мне нужен REST API, чтобы иметь возможность общаться друг с другом без какого-либо взаимодействия с пользователем. Например, используя только токены.

Наши веб-приложения ( JSP и SPA) всегда полностью защищены, например, пользователь должен войти в систему, чтобы получить доступ к любой его части.

Буду признателен за любые предложения.

Спасибо