2-legged OAuth2 используется для приложения на основе браузера, где учетные данные клиента не могут быть скрыты от общественности. 3-legged OAuth2 используется "Приложениями веб-сервера", где есть третий вызов между серверами. Все хорошо описано здесь.
Вопрос: Зачем беспокоиться с 3-мя ногами, когда 2-ноги выглядят нормально?
Это больше работает как для провайдера, так и для клиента. Почему ни один из крупных игроков не сделал ход и не удалил 3-ногой?