En la sección 2.1 de OAuth2.0 RFC, indica lo siguiente con respecto al identificador del cliente:
El servidor de autorización DEBE documentar el tamaño de cualquier identificador que emita.
¿Cuál es el punto de hacer esto?
Algunos identificadores pueden almacenarse en una base de datos u otro formato que especifique el tamaño de los campos.
Sería un caso bastante común cuando un desarrollador quisiera almacenar tokens de autorización en su base de datos. Aquí hay un ejemplo del mundo real .
En el caso que vinculé anteriormente, el token solía tener menos de 255 caracteres, lo que cabría en un VARCHAR (255), pero Facebook ha estado enviando tokens de acceso con más de 255 caracteres.
Esto puede no parecer un gran problema, ya que un desarrollador podría establecer su varchar en 8000 o cualquiera que sea su tamaño máximo de DB, pero en algunas instancias de MySql, tener un VARCHAR de UTF-8 sobre 255 puede provocar problemas en la indexación de tablas.
Hay muchos matices que podrían informar las decisiones de diseño, si los desarrolladores saben lo que van a obtener de un servidor de autorización, y si cambia, es mejor tener eso documentado en algún lugar, en lugar de tenerlo. un día falla y no tienes idea de lo que pasó
Lea otras preguntas en las etiquetas oauth2