Hola a todos,
Si fuese posible... contacta con quien lleve el API en cuestión, porque, acaso sea posible probar a poner el "API-KEY" en diferentes lugares... pero, no parece lo suyo. "OAuth" es un método de autenticación, si se puede decir así, que, juega con "tokens". Como el error que has puesto menciona "tokens"... acaso pueden ir por ahí los tiros... por el método de autenticación.
Es complicado, sin más datos, poder ir más allá. Yo probaría a enviar el "API-KEY" por HTTP GET (en la misma URL) y/o por HTTP POST... pero claro, es que, para empezar, es menester saber el campo en que tiene que enviarse dicha información. ¿Será "apikey"? ¿Será "api-key"? ¿Será de otra forma?