Por lo que he leído, la razón principal para usar oAuth explícito es que el agente de usuario nunca ve el token de autenticación. Sin embargo, si estamos diseñando una aplicación web con oAuth2 basado en el código de autenticación, parece imposible que el agente de usuario se identifique ante el cliente. La base de datos del cliente ahora tiene el token de autenticación para este usuario + otros usuarios. Como usuario, si abro el sitio web del cliente en mi navegador, ¿cómo dice el cliente qué usuario soy? / ¿Cómo sabe el cliente qué token de autenticación usar?
No veo cómo se puede hacer eso sin entregar el token de autenticación al navegador, lo que parece anular el punto de autenticación explícita. En base a eso, parece que no hay una situación en la que una aplicación web deba usar la autenticación explícita. Siento que he malinterpretado algo y podría hacer alguna aclaración.