Der
Access Token ist nun wirklich extrem einfach zu besorgen und hier das geringste Übel. Das ist einfach nur ein POST-Request mit vier Formularfeldern als "application/x-www-form-urlencoded".
Das ist aber auch der einfachste Flow, der "OAuth2 client credentials grant flow". Dieser Flow ist nicht geeignet für public clients, bei denen das client secret nicht in der Anwendung gespeichert werden darf. Das kann man zwar machen, aber wenn das client secret kompromittiert ist, muss es auf allen Benutzer/Kunden-Systemen durch ein neues ersetzt werden.
Für public clients existiert der aufwendigere "OAuth2 authorization code flow" mit Callback-
URL, bei dem kein client secret notwendig ist (ausser bei Web-Anwendungen, aber da liegt das client secret zentral beim Anbieter auf dem Server).
https://learn.microsoft.com/en-us/ex...by-using-oauth