OAuth 2.0 密码许可

tools.ietf.org/html/rfc6749#section-1.3.3

密码许可类型是一种过时方式，通过向授权服务器发送用户密码来为用户凭证交换访问令牌。由于客户端应用程序必须收集用户密码并将其发送到授权服务器，因此不建议再使用此许可。

此流程并未提供多重身份验证或委托帐户等事项的机制，因此在实践中会受到相当大的限制。

最新的OAuth 2.0 安全最佳当前实践完全禁止使用密码许可，并且此许可未在OAuth 2.1中定义。

更多资源

• 密码许可(oauth.com)
• 什么是 OAuth 2.0 密码许可类型？ (developer.okta.com)
• OAuth 2.0 安全最佳当前实践的第 3.4 节
• 密码 (aaronparecki.com)