私が理解していることから、oauth2 はリクエストに署名せず、(https 経由の) トランスポート層のセキュリティに依存しています。これは、リプレイ攻撃と、証明書が検証されていない SSL プロキシ攻撃の両方に対して脆弱であると思われます (これは、クライアント アプリの間で一般的なようです)。
この意味では、HMAC-sha256 やそれに沿ったものほど安全ではないようです。一部のアプリではこれで問題ないかもしれませんが、大量のお金を移動するアプリの場合、これは十分なセキュリティとは思えません。私はそれを正しく理解していますか?