Готовый продукт на 1С для авторизации HTTP API: выдача JWT по PAT (резерв — Basic) и проверка входящих JWT (RS256). Права через области доступа и роли поверх 1С. Двойной контроль токена: валидатор платформы + проверка сессии в регистре. В логах секреты подчищаются, ошибки аккуратно маппятся в 401/403/500. Есть пример API для расширения.