Tal como lo entiendo, el OAuth de cero es donde los códigos de token / secretos normalmente temporales se deciden de antemano y se hacen para que no caduquen, por lo que no es necesario realizar ningún paso de autenticación antes de realizar solicitudes "reales" de la API REST de back-end . Para mí, eso parece ir en contra de la norma. ¿Tengo razón al pensar esto?
En la práctica, la autenticación no es diferente: el cliente utiliza el mismo secreto que en otros flujos para crear una firma o proporcionar un comprobante de posesión del secreto.
La diferencia está en el lado de los proveedores de servicios. Cada punto final de un proveedor de servicios que participa en una autorización de cero tiene que saber cómo acceder a la forma del proveedor del secreto del cliente para poder validar directamente las solicitudes firmadas con el secreto.
Esta es una arquitectura menos capaz, más monolítica y, potencialmente, menos segura, menos segura debido a la necesidad de distribuir el secreto compartido real, en lugar de un token de uso limitado.
Lea otras preguntas en las etiquetas oauth