Это зависит как от технологии, которую вы используете для создания своего веб-приложения, так и от опыта пользователя, которого вы хотите предложить.
Если вам не нужно обновлять токены или у вас есть приложение JavaScript, неявный поток рекомендуется.В этом случае все токены передаются через канал браузера.
Поток гибридный рекомендуется для серверных веб-приложений и нативных настольных / мобильных приложений, а также будет поддерживать такие вещи, как токены обновления, так чточтобы ваши пользователи входили в систему через сеансы браузера.Этот поток использует канал обозревателя для токена идентификации и обратный канал для токенов доступа / обновления.
Эти два типа предоставления охватывают множество наиболее распространенных сценариев для веб-приложений, но есть из чего выбирать илипринять к сведению.Я предлагаю вам прочитать об этом в IdentityServer4 документах .