Da quello che ho letto, il motivo principale per usare oAuth esplicito è che l'utente-agente non vede mai il token di autenticazione. Tuttavia, se stiamo progettando un'applicazione web con outhuth basata su auth-code, sembra impossibile che l'agente utente si identifichi con il client. Il database client ora ha il token auth per questo utente + altri utenti. Come utente, se apro il sito Web del cliente nel mio browser, come fa il cliente a sapere quale utente sono? / Come fa il client a sapere quale token auth usare?
Non vedo come puoi farlo senza fornire il token auth al browser, il che sembra sconfiggere il punto di Explicit Authentication. Sulla base di ciò, sembra che non ci sia una situazione in cui un'applicazione web dovrebbe utilizzare l'autenticazione esplicita. Mi sento come se avessi frainteso qualcosa e avrei potuto usare qualche chiarimento.