Разница между "Потоком пароля владельца ресурса" и "Потоком учетных данных клиента" кажется мне непонятной. Первый, как представляется, перенаправляет учетные данные пароля на сервер для проверки, в то время как последний также выполняет аутентификацию с сервером, но спецификация не указывает, какой метод используется здесь. Этот поток предназначен для сеансов cookie? Спецификация действительно не дает ясного варианта использования.
Из спецификации OAuth 2.0:
+---------+ +---------------+
| | | |
| |>--(A)- Client Authentication --->| Authorization |
| Client | | Server |
| |<--(B)---- Access Token ---------<| |
| | | |
+---------+ +---------------+
Figure 6: Client Credentials Flow
и
+----------+
| Resource |
| Owner |
| |
+----------+
v
| Resource Owner
(A) Password Credentials
|
v
+---------+ +---------------+
| |>--(B)---- Resource Owner ------->| |
| | Password Credentials | Authorization |
| Client | | Server |
| |<--(C)---- Access Token ---------<| |
| | (w/ Optional Refresh Token) | |
+---------+ +---------------+
Figure 5: Resource Owner Password Credentials Flow