Siento que esto debería ser un duplicado, pero no lo veo en ninguna parte.
La pregunta es bastante simple. Cuando le da a un cliente de correo (por ejemplo, Thunderbird) acceso a su p. Ej. En la cuenta de Gmail, tiene la opción de utilizar una contraseña específica de la aplicación o un token de OAuth.
Por mi vida, no entiendo el beneficio del token OAuth:
- Ambos se usan solo para esa aplicación específica
- Ambos están protegidos criptográficamente contra el agrietamiento
- Ambos permiten el acceso completo a los correos electrónicos del usuario
- Ambos pueden ser revocados más tarde por el usuario
Por otro lado, la desventaja es que es menos universal y requiere saltar a través de más aros para configurar.
Entonces, ¿por qué en el mundo utilizaría un token OAuth más largo con una contraseña más corta específica de la aplicación? ¿Qué beneficios tiene? ¿En qué situaciones de ataque me alegraría haber usado OAuth?