Спецификация OAuth не содержит каких-либо конкретных утверждений о том, как проверять подлинность (т. Е. Входить в систему) пользователей, а только о том, как передавать учетные данные на другие серверы после успешной проверки подлинности. Нет особой причины, по которой на этапе, когда другие серверы могут установить поле для входа, вы не можете вместо этого инициировать транзакцию OAuth с другим несвязанным сервером.
Однако вам понадобится какая-то база данных, чтобы связать выданные вами учетные данные (т. Е. Учетные данные, которые ваши клиенты будут использовать для работы вашего API) с учетными данными, которые вы получаете от вышестоящих серверов - нужно ли эти данные сохраняется при отключении сервера и т. д., будет зависеть от того, хотите ли вы, чтобы сторонние клиенты могли использовать свои учетные данные в течение длительного периода времени.