Drupal7 REST Webservices API Key vs OAuth Authentification à deux pattes pour la bibliothèque de consommateurs de clients JS

Question

Je travaille sur une API Drupal7, en utilisant les services REST et la bibliothèque JS Consumer (pas de code serveur). Je n'essaie pas d'authentifier / d'autoriser les utilisateurs finaux, uniquement pour identifier et permettre l'accès à l'application à l'aide d'une clé API.

L'objectif est de demander aux «développeurs» de créer un compte, de demander une clé API, d'enregistrer des domaines pour cette clé API et d'utiliser cette clé pour «identifier» leur application à l'API Drupal7. C'est à peu près le même modèle API-Key que Google Maps utilise dans V2.

J'ai examiné l'approche OAuth 2, ce qui aurait été formidable si ma bibliothèque client fonctionnait du côté du serveur, donc la clé secrète ne serait pas exposée, mais dans notre cas, la bibliothèque est JS uniquement (côté client), et il ne semble pas une bonne idée d'exposer la clé secrète.

Est-ce que je manque quelque chose à propos d'Oauth qui permettra cela? Tous les pointeurs seront les bienvenus.

Merci!