Nella sezione 2.3.1 del Framework di autorizzazione di OAuth 2.0 che afferma:
The authorization server MUST support the HTTP Basic authentication scheme for authenticating clients that were issued a client password.
Continua a dire:
Including the client credentials in the request-body using the two parameters is NOT RECOMMENDED and SHOULD be limited...
Perché è including the client credentials in the request-body using the two parameters is not recommended
?
Posso pensare a qualsiasi ragione. Se è sufficiente che le credenziali dell'utente siano in chiaro nel corpo della richiesta, perché non è abbastanza buono per le credenziali del cliente? Le credenziali del client sono ancora in testo normale nonostante la codifica richiesta dall'autorizzazione di base. Mi manca qualcosa?