Para mí, el flujo de credenciales del cliente es como el cliente está pidiendo el token de acceso por sí mismo, no en nombre de algún usuario.
Entonces, ¿por qué le gustaría al cliente limitar su propio alcance? ¿Cuál es el beneficio de los ámbitos en el flujo de credenciales del cliente?
En caso de que un cliente solicite el token de acceso solo para un caso de uso específico para el cual solo se requiere un subconjunto de ámbitos, podría tener sentido que el cliente reduzca el alcance. En caso de que se filtre el token de acceso, un atacante solo tendrá acceso a este caso de uso.
Lea otras preguntas en las etiquetas oauth authorization oauth2