Ambos métodos son aceptables, lo más probable es que sean compatibles con las implementaciones existentes en el momento en que se utilizó uno u otro.
Sin embargo, solo los servidores de autorización hicieron obligatoria la autenticación HTTP Basic, por lo que agregar la recomendación adicional de no usar el opcional probablemente fue pensado para que todos usen el mismo método.
En relación con el motivo por el cual la decisión dependió de HTTP Basic y no del cuerpo de la solicitud, diría que el hecho de que la historia de OAuth 2.0 incluya vínculos con OAuth WRAP es un factor decisivo.
Como información adicional:
El uso del encabezado de Autorización es RECOMENDADO, ya que las implementaciones de HTTP son conscientes de que los encabezados de Autorización tienen propiedades de seguridad especiales y pueden requerir un tratamiento especial en cachés y registros .
(fuente: perfiles de autorización de recursos web de OAuth (OAuth WRAP) )
Los encabezados de autorización son reconocidos y tratados especialmente por HTTP
proxies y servidores. Así, el uso de dichos encabezados para enviar
Los tokens de acceso a los servidores de recursos reducen la posibilidad de fugas.
o almacenamiento no deseado de solicitudes autenticadas en general, y
especialmente los encabezados de autorización.
(fuente: Modelo de amenazas de OAuth 2.0 y consideraciones de seguridad (RFC 6819) )