RFC 6749 の 4.3.2 (oauth2 承認フレームワークの「リソース所有者のパスワード資格情報の付与フロー」について説明しています) には、次のように記載されています。
クライアント タイプが機密の場合、またはクライアントにクライアント
クレデンシャルが発行された(または他の認証要件が割り当てられた)場合、クライアント はセクション 3.2.1 で
説明されているように認可サーバーで認証する必要があります。
「機密クライアント」とは何かについての参照が見つからないようです。このことから、非機密クライアントを「リソース所有者パスワード資格証明付与フロー」(4.3) に参加させることが許可されているようです。つまり、認可サーバーで自分自身を認証しない (そしてできない) クライアントです。
これは正しいです?
oauth2 仕様のセクション 2.3には、次の段落があります。
認可サーバーは、パブリック クライアントとのクライアント認証方法を確立してもよい (MAY)。ただし、認可サーバーは、クライアントを識別する目的でパブリック クライアント認証に依存してはなりません。
パブリック クライアントは、セクション 2.1で次のように定義されています。
クレデンシャルの機密性を維持できないクライアント (たとえば、インストールされたネイティブ アプリケーションや Web ブラウザベースのアプリケーションなど、リソース所有者が使用するデバイスで実行されているクライアント)、および他の手段による安全なクライアント認証ができないクライアント。
そのため、(オプションで) クライアントを認証することはできますが、クライアントがその人物であるという意味を理解することはできません。