Come cappuccetto rosso, non sai chi sta bussando alla porta ... Perché preoccuparsi di accettare un client_id in caso di API < - > Javascript-sito web o API < - > La password dell'app Android consente il flusso di autenticazione?
Da RFC 6749 (enfasi mia):
A client MAY use the "client_id" request parameter to identify itself when sending requests to the token endpoint. In the "authorization_code" "grant_type" request to the token endpoint, an unauthenticated client MUST send its "client_id" to prevent itself from inadvertently accepting a code intended for a client with a different "client_id". This protects the client from substitution of the authentication code. (It provides no additional security for the protected resource.)
Leggi altre domande sui tag authentication oauth passwords