Utilisation du framework multisite Drupal 7 pour une API et une stratégie AUTH RESTFUL

Question

Ma situation

J'ai une petite application avec une interface publique. Je suis intéressé à faire une API pour que cela soit utilisé dans un environnement mobile et même finalement en tant qu'API publique. Je veux rester simple avec la priorité sur des aspects tels que la sécurité et les performances.

Mon plan

Pourquoi Drupal? Eh bien, je sais que Drupal et moi pouvons envisager une configuration où j'ai 2 sites. www.mygui.com (par défaut) et api.mygui.com (API). Toute la structure de la base de données est déterminée par le travail effectué dans le défaut placer. En utilisant le Module de services Drupal (et seulement quelques autres modules de base nécessaires) sur le API Site I prévoit d'autoriser les mises à jour authentifiées de la base de données via JSON et DRUPAL_INTERNAL_API.

Mon problème

J'ai déjà un prototype (pas dans Drupal) qui utilise des jetons. Je suis nouveau dans les services et je ne connais pas vraiment toutes ses limites et capacités. Cela semble prometteur mais toujours dans le pipeline: Module de jeton Auth Drupal Services. Je voudrais des conseils ou des ressources concernant une bonne stratégie d'authentification. Par exemple, lequel est le meilleur? Gardez la base d'utilisateurs la même avec les rôles "api uer" attribués ou avoir une base d'utilisateurs complètement séparée spécifiquement pour le API placer? Gardez à l'esprit qu'un nom d'utilisateur API est une configuration à long terme où le nom d'utilisateur / mot de passe ou le jeton ne devrait pas changer tant que l'utilisateur de l'API est prêt avec une nouvelle version d'application? Puis-je avoir une belle GUI pour les utilisateurs pour gérer leur API des informations d'identification du site sur le défaut placer?