[解決済み] RESTful Web サービス - 他のサービスからのリクエストを認証する方法とは？

質問

私は、ユーザーだけでなく、他のWebサービスやアプリケーションからもアクセスされる必要があるRESTfulなWebサービスを設計しています。すべての受信リクエストは認証される必要があります。すべての通信はHTTPSで行われます。ユーザー認証は認証トークンによって行われ、ユーザー名とパスワードを（SSL 接続で）POST して /session リソースに POST することで取得できます。

ウェブサービスクライアントの場合は エンドユーザーがいない クライアントサービスの背後には リクエストはスケジュールされたタスク、イベント、または他のコンピュータ操作によって開始されます。接続するサービスのリストは事前に知られています (当然ですね)。 他の（Web）サービスから来るこれらのリクエストをどのように認証すればいいのでしょうか？ これらのサービスに対して、できるだけ簡単に認証プロセスを実装したいのですが、セキュリティが犠牲になることはありません。このようなシナリオのための標準およびベストプラクティスは何でしょうか？

私が思いつく(または私に提案された)オプション。

1. クライアント サービスに "偽のユーザー名とパスワードを持たせ、ユーザーと同じ方法で認証させる。このオプションは好きではありません - 正しくないと感じます。

2. クライアント サービスの恒久的なアプリケーション ID、おそらくアプリケーション キーも割り当てます。私が理解した限りでは、これはユーザー名とパスワードを持つのと同じです。この ID とキーで、各リクエストを認証するか、認証トークンを作成して、さらにリクエストを認証することができます。いずれにせよ、アプリケーションIDとキーを手に入れることができれば、誰でもクライアントになりすますことができるので、このオプションは好きではありません。

3. 私は以前のオプションにIPアドレスのチェックを追加することができました。これにより、偽のリクエストを実行することが難しくなるでしょう。

4. クライアント証明書。私自身の認証局をセットアップし、ルート証明書を作成し、クライアント サービス用のクライアント証明書を作成します。a) 証明書なしでユーザーが認証できるようにするにはどうすればよいか、b) クライアント サービスの観点からこのシナリオを実装するのはどれほど複雑か、という問題です。

5. 他の何か - 他のソリューションがあるに違いない？