Se escolher entre as versões do OAuth, use o OAuth 2.0.
Os tokens de portador OAuth devem ser usados apenas com um transporte seguro.
Os tokens de portador OAuth são tão seguros ou inseguros quanto o transporte que criptografa a conversa. HTTPS se encarrega de proteger contra ataques de repetição, portanto, não é necessário que o token do portador também proteja contra repetição.
Embora seja verdade que, se alguém interceptar seu token de portador, ele pode se passar por você ao chamar a API, há muitas maneiras de reduzir esse risco. Se você der aos seus tokens um longo período de expiração e espera que seus clientes armazenem os tokens localmente, você tem um risco maior de os tokens serem interceptados e mal utilizados do que se der aos seus tokens uma expiração curta, exigir que os clientes adquiram novos tokens para cada sessão, e aconselhar os clientes a não persistirem em tokens.
Se você precisa proteger cargas úteis que passam por vários participantes, você precisa de algo mais do que HTTPS / SSL, uma vez que HTTPS / SSL criptografa apenas um link do gráfico. Isso não é uma falha do OAuth.
Os tokens do portador são fáceis de obter pelos clientes, fáceis de usar pelos clientes para chamadas de API e são amplamente usados (com HTTPS) para proteger APIs voltadas ao público do Google, Facebook e muitos outros serviços.