Szerintem is jobban járnátok standard Oauth alapú megoldással. Ráadásul azt nem nektek kell leimplementálni se kliens, se szerver oldalon. Azért írjatok a főnökségnek 1-1 becsült óraszámot a két megoldás mellé (kész Oauth libek vs. saját tákolás). A saját SSL-es verzió becslését nyugodtan szorozzátok 3-mal, hacsak másodállásban nem vagytok crypto / security szakértők. Szerintem a főnök megmondja, hogy melyiket válasszátok. :)