Все зависит от того, может ли ваш партнер использовать API в качестве клиента или нет.
Если доступен только анонимный доступ, вы можете добавить простой Auth на основе ключа API и / или IP.
В противном случае стандартом является Oauth2 или комбинированное решение.
Oauth2 - это большая система, которая позволяет вам и вашим пользователям управлять доступом.
В комбинированном решении вы можете написать свой собственный простой Oauth2. Добавить табличное пользовательское приложение при хранении токенов JWT, которые может использовать этот партнер.
ОБНОВЛЕНИЕ (JWT)
Вкратце: JWT - это токен, который содержит данные + подпись + информацию о действии токена.
Чаще всего это пользовательские данные, но никто не может запретить вам вводить ваш партнерский ID и разрешения там.
Правильное использование JWT позволяет облегчить базу данных. Я предлагаю вам использовать 2 JWT.
1 - долгосрочный, который содержит идентификатор партнера. После проверки правильности токена и наличия у партнера прав, он используется для создания краткосрочного токена JWT.
2 - краткосрочный, который не использует базу данных для проверки себя и получения разрешений из базы данных, он используется для связи с API