С точки зрения OAuth 2.0 токены доступа являются учетными данными. Маркер доступа можно использовать для доступа к защищенному ресурсу OAuth 2.0.
Когда данные передаются по сети, атаки могут быть направлены на извлечение данных из сети. Если переданные данные не зашифрованы, то такие атаки покажут простые данные, которые были переданы. Если такие данные содержали запрос токена и ответ, то злоумышленник может извлечь токен доступа. Это также выделено в RFC6749 ,
Since requests to the token endpoint result in the transmission of
clear-text credentials (in the HTTP request and response), the
authorization server MUST require the use of TLS as described in
Section 1.6 when sending requests to the token endpoint.
Когда клиент устанавливает соединение с сервером авторизации, это соединение также открывается через обычные сети. Таким образом, атака там тоже присутствует. Вот почему вы должны использовать TLS для запроса токена.
Теперь функциональность TLS - это отдельная тема. Он использует цифровые сертификаты, которые выдаются центрами сертификации (CA). Есть доверенные CA, которым по умолчанию доверяют операционные системы. Поэтому, когда вы подключаетесь к Facebook, если Facebook использует сертификат tls, выданный известным CA, вам не нужно ничего настраивать.