Проект OAuth 2.0 v2-22 Раздел 3.2 гласит:
Клиент ДОЛЖЕН использовать HTTP-метод "POST" при создании токена доступа запросы.
Однако, если вы посмотрите на Facebook и Foursquare OAuth2, они просят клиентов сделать простой запрос GET для запроса токена доступа. Они просят клиентов поместить client_id и client_secret в URL.
Я создаю сервер OAuth 2 и, увидев реализацию Facebook и Foursquare, я решительно рассматриваю также нарушение протокола, чтобы клиенты могли запрашивать токен доступа через GET. Общение на моем сайте использует SSL, подобно Facebook и Foursquare.
Итак, мой вопрос заключается в следующем: есть ли веские причины, по которым я не должен позволять клиентам запрашивать токены доступа через метод GET через HTTPS?