¿No sería mucho más simple y prácticamente seguro reemplazar los tokens por credenciales de cliente puras?
Las credenciales del cliente no caducarán y los propietarios de los recursos siempre podrán modificar su matriz de control de acceso para revocar cualquier privilegio en cualquier momento.
En ese caso -
En el flujo de credenciales del cliente de OAuth, 'cliente' se refiere a una aplicación cliente y no necesariamente al propietario del recurso (usuario final). En algunos casos, al igual que las aplicaciones móviles, ambas son casi iguales, ya que generalmente hay un solo usuario del cliente. Por lo tanto, para una aplicación simple, reemplazar un token de acceso enviando repetidamente las credenciales del cliente puede ser un sustituto adecuado. Sin embargo, para cualquier aplicación distribuida donde las API y los recursos se distribuyen a través de diferentes dominios / servidores / aplicaciones, tener un punto final central de token es más escalable y más seguro simplemente por el hecho de ser un solo punto.
Si bien Facebook tiene OAuth de dos etapas para usuarios finales (propietarios de recursos) que usan aplicaciones (clientes) de Facebook, Facebook proporciona tokens de acceso a las aplicaciones de Facebook a través del flujo de trabajo de las credenciales del cliente de OAuth.
Lea otras preguntas en las etiquetas oauth access-control