Ответ приходит из раздела 2.3 Аутентификация клиента .
Если тип клиента является конфиденциальным, клиент и сервер авторизации устанавливают метод аутентификации клиента, подходящий для требований безопасности сервера авторизации. Сервер авторизации МОЖЕТ принять любую форму аутентификации клиента, соответствующую его требованиям безопасности.
Конфиденциальным клиентам обычно выдают (или устанавливают) набор учетных данных клиента, используемых для аутентификации на сервере авторизации (например, пароль, пара открытого / секретного ключей).
Сервер авторизации МОЖЕТ установить метод аутентификации клиента с общедоступными клиентами. Однако сервер авторизации НЕ ДОЛЖЕН полагаться на общедоступную аутентификацию клиента для идентификации клиента.
Раздел 2.1 Типы клиентов
OAuth определяет два типа клиентов, основываясь на их способности аутентифицироваться
безопасно с сервером авторизации (т. е. возможность поддерживать
конфиденциальность учетных данных клиента):
конфиденциальный
Клиенты, способные поддерживать конфиденциальность своих
учетные данные (например, клиент реализован на защищенном сервере с
ограниченный доступ к учетным данным клиента) или может
аутентификация клиента с использованием других средств.
* 1025 публика *
Клиенты, неспособные поддерживать конфиденциальность своих
учетные данные (например, клиенты, выполняющиеся на устройстве, используемом
владелец ресурса, такой как установленное собственное приложение или веб
приложение на основе браузера) и не в состоянии защищенного клиента
аутентификация любым другим способом.
Резюме
Требование к заголовку авторизации определяется сервером авторизации и зависит от реализации.