Sulla base dell'esperienza utente, Twitter e Facebook utilizzano il flusso di credenziali della password del proprietario della risorsa. Da quello che ho letto il flusso del codice di autorizzazione è l'opzione più sicura per un'app web standard dotata di un server di back-end. Qualcuno sa quale flusso usano per i loro siti e perché?