Según la experiencia del usuario, parece que Twitter y Facebook utilizan el flujo de credenciales de contraseña del propietario del recurso. Por lo que he leído, el flujo de código de autorización es la opción más segura para una aplicación web estándar que tiene un servidor back-end. ¿Alguien sabe qué flujo utilizan para sus sitios y por qué?