La especificación OAuth 2.0 indica que al autenticar con una contraseña de cliente, puede pasar client_id y client_secret usando:
Authorization , utilizando el esquema de autenticación HTTP básico, OR; La especificación recomienda no usar el cuerpo de la solicitud, indicando que este método debe limitarse solo a aquellos clientes que no pueden usar el esquema de autenticación HTTP básico.
¿Cuál es la razón de esta recomendación?
Ambos métodos son aceptables, lo más probable es que sean compatibles con las implementaciones existentes en el momento en que se utilizó uno u otro.
Sin embargo, solo los servidores de autorización hicieron obligatoria la autenticación HTTP Basic, por lo que agregar la recomendación adicional de no usar el opcional probablemente fue pensado para que todos usen el mismo método.
En relación con el motivo por el cual la decisión dependió de HTTP Basic y no del cuerpo de la solicitud, diría que el hecho de que la historia de OAuth 2.0 incluya vínculos con OAuth WRAP es un factor decisivo.
Como información adicional:
El uso del encabezado de Autorización es RECOMENDADO, ya que las implementaciones de HTTP son conscientes de que los encabezados de Autorización tienen propiedades de seguridad especiales y pueden requerir un tratamiento especial en cachés y registros .
(fuente: perfiles de autorización de recursos web de OAuth (OAuth WRAP) )
Los encabezados de autorización son reconocidos y tratados especialmente por HTTP proxies y servidores. Así, el uso de dichos encabezados para enviar Los tokens de acceso a los servidores de recursos reducen la posibilidad de fugas. o almacenamiento no deseado de solicitudes autenticadas en general, y especialmente los encabezados de autorización.
(fuente: Modelo de amenazas de OAuth 2.0 y consideraciones de seguridad (RFC 6819) )
Lea otras preguntas en las etiquetas authentication oauth oauth2 http