На данный момент я не знаю никаких альтернатив oauth-плагину, хотя он определенно становится длинным и готовым для замены. Моя рекомендация состоит в том, чтобы сгенерировать oauth-сервер из oauth-plugin, затем извлечь зависимости из плагина (которые представляют собой всего лишь пару модулей) и очистить плагин. Затем настройте все под свои нужды. Двухсторонний oauth не должен быть большой проблемой, так как он в любом случае проще, чем 3-сторонний, и мне кажется, что oauth-plugin в наши дни не может использоваться без значительных изменений.
В любом случае мясо OAuth уже давно извлечено в базовый камень oauth, поэтому плагин oauth находится в подвешенном состоянии. Архитектура делает некоторые жесткие предположения о том, какую систему аутентификации вы используете, и сгенерированный код датирован. Поэтому для меня oauth-plugin служит скорее примером того, как все соединить, а не чем-то, что большинство сайтов хотели бы использовать «из коробки».