На самом деле «отправить некоторый ключ API в заголовке (JWT или другой)» - это то, что OAuth 2.0 указывает в https://tools.ietf.org/html/rfc6750#section-2. Давайте назовем это второй этап, который тривиален, как ваше предложение, но стандартизирован.
Получение ключа API, т. Е. 1-й ветви, является источником воспринимаемой сложности в OAuth 2.0 с использованием так называемых типов предоставления.Тем не менее, у вас нет для использования типа предоставления OAuth 2.0 в вашем клиенте для получения токена доступа.Вы также можете просто настроить access_token в своем клиенте, как если бы вы использовали традиционный ключ API.(все еще возникает вопрос, как вы сгенерируете токен доступа так же, как вы сгенерируете ключ API)