Al igual que la pequeña capucha roja, no sabes quién está llamando a la puerta ... ¿Por qué incluso molestarse en aceptar un ID de cliente en caso de una API < - > Sitio web o API de Javascript < - > ¿El flujo de autenticación de concesión de contraseña de la aplicación de Android?
De RFC 6749 (énfasis mío):
Un cliente PUEDE utilizar el parámetro de solicitud "client_id" para identificarse al enviar solicitudes al token de punto final. En el "permission_code" "grant_type" solicitud al punto final del token, un el cliente no autenticado DEBE enviar su "client_id" para evitarlo de aceptar inadvertidamente un código destinado a un cliente con un diferente "client_id". Esto protege al cliente de la sustitución de El código de autenticación. (No proporciona seguridad adicional para el recurso protegido.)
Lea otras preguntas en las etiquetas passwords authentication oauth