¿Por qué es más seguro usar la concesión implícita que solo dar su clave secreta?

  

¿Esto no permite que nadie acceda a tu API independientemente de   ¿Tienen la clave secreta o no?

Sí, la concesión implícita carece de la capacidad de autenticar al cliente, lo que pueden hacer las otras subvenciones, introduciendo aún más los vectores de ataque que otorga la autorización, que requieren un secreto del cliente, no experimentados.

El caso de uso para la concesión implícita es la autenticación de los usuarios finales y el acceso por parte del cliente a un recurso (posiblemente propiedad del usuario final) y debe ser utilizado por las aplicaciones SPA (y cualquier otra aplicación basada en el agente de usuario / Javascript).

Si la autenticación del cliente es importante, se debe implementar una subvención diferente.

La concesión implícita es más segura en el sentido de que no expondría el secreto del cliente, que puede compartirse a través de sus aplicaciones internas.

Aquí hay una buena lectura sobre cuándo usar cuáles subvenciones (OAuth2) y flujos OIDC enlace

La razón principal por la que no debe usar una clave secreta es que no puede confiar en el dispositivo para proteger la clave secreta. Probablemente entienda que la clave secreta no es segura en una aplicación cliente de javascript porque el javascript generalmente es algo fácil de leer. Del mismo modo, un pirata informático o un ladrón que tenga en sus manos una tableta o un teléfono inteligente puede obtener el binario para su aplicación y extraer la clave secreta del código fuente. Las claves secretas se usan idealmente solo para la comunicación de servidor a servidor o para aplicaciones internas de su organización.