Segurança em aplicações RESTs

Pesquise sobre stateless authentication, vai encontrar bastante coisa.

Tem alguma sugestão de um framework, pra eu já ir direcionando meus estudos?

Isso é o de menos. Aprende a teoria primeiro. Depois a ferramenta vai ser irrelevante.

Eu não uso framework nenhum, só fico trocando token entre cliente e servidor.

Eu já li um pouco sobre o Protocolo OAuth.
Gosto de framework porque numa equipe, entregar uma documentação feita por alguma empresa especializada é bem melhor do que ter que explicar tudo ou eu mesmo criar uma documentação.

Cara… fazer na mão é mais fácil que usar OAuth na boa… trocar token é mais fácil na minha humilde opinião…

Usar JWT por exemplo? agora, onde que esses tokens são mantidos? no banco?

O token é gerado por requisição e armazenado em cache e tudo é transmitido via http perderia um pouco no quesito segurança se fosse armazenado em banco. Não conheço o JWT em especifico, mas acredito que ele use o mesmo processo de “fazer na mão” via http.

O servidor recebe uma requisição do cliente com os dados de login com as info no cabeçalho http, o servidor gera um token pra essa requisição e responde já com esse numero de autorização, e partir dai todas as requisições desta sessão deverão ser feitas com esse token no cabecalho que ele enviou pro cliente, quando a sessão deste cliente cair o token é excluido do cache… Claro que existe muito mais neste assunto mas a ideia eh por aí