A seconda del tipo di applicazione e del caso d’uso, esistono diversi flussi che possono essere utilizzati con OAuth 2.0. La regola generale che può essere utilizzata per capire il tipo di flusso di cui abbiamo bisogno è la seguente:
- Se l’applicazione accede alla risorsa per conto proprio (ad esempio è la proprietaria della risorsa) possiamo utilizzare il Credential flow
- Se l’applicazione è in esecuzione su un dispositivo senza browser o è vincolata all’input, possiamo utilizzare il Device flow. Potrebbe, ad esempio, essere una smart TV dove sarebbe difficile per l’utente inserire nome utente e password
- Se nessuna delle condizioni precedenti è applicabile, utilizzare Authorization Code flow
Inoltre sono presenti altri due flow che però al momento sono legacy e non dovrebbero essere utilizzati:
- Implicit Flow: si trattava di un flusso semplificato per le applicazioni native e sul lato client applicazioni, che ora sono considerate non sicure e non dovrebbe piu essere utilizzato.
- Resource Owner Password Credentials flow: in questo flusso l’applicazione raccoglie direttamente le credenziali dell’utente e le scambia con un token di accesso. Si può essere tentati di utilizzare questo tipo di flusso per le applicazioni native, quando un browser non è disponibile, o semplicemente perché vuoi che il modulo di login è direttamente integrato con l’applicazione. È intrinsecamente insicuro perchè stiamo esponendo le credenziali dell’utente direttamente all’applicazione.