en RFC 6749 El marco de autorización OAuth 2.0
2.3.1. Client Password definitivamente establece que la autenticación en TokenEndpoint se puede hacer de dos formas alternativas
- Autenticación básica de HTTP - ID de cliente: client_secret
- en el cuerpo de la solicitud POST, client_id = {client_id}, client_secret = {client_secret}
Mientras que la API de Facebook exige una solicitud de obtención con parámetros codificados de URL:
GET https://graph.facebook.com/oauth/access_token?
client_id={app-id}
&redirect_uri={redirect-uri}
&client_secret={app-secret}
&code={code-parameter}
¿No es esto (forma no estándar compatible) la exposición de las contraseñas de los clientes en la lógica de seguridad de ruptura de URL de AUTH2? ¿Y abriendo puertas a las vulnerabilidades?