En la sección 2.3.1 del Marco de Autorización OAuth 2.0, indica:
El servidor de autorización DEBE admitir la autenticación HTTP básica esquema para autenticar a los clientes a los que se les emitió una contraseña de cliente.
Continúa diciendo:
La inclusión de las credenciales del cliente en el cuerpo de la solicitud utilizando los dos parámetros NO SE RECOMIENDA y DEBE estar limitada ...
¿Por qué es que including the client credentials in the request-body using the two parameters is not recommended
?
Puedo pensar en cualquier razón. Si es lo suficientemente bueno para que la credencial del usuario esté en texto sin formato en el cuerpo de la solicitud, ¿por qué no es lo suficientemente bueno para las credenciales del cliente? Las credenciales del cliente todavía están en texto sin formato a pesar de la codificación requerida por la autorización básica. ¿Me estoy perdiendo algo?