Aplicaciones altamente confiables pueden usar este flujo, ya que en este flujo se le pregunta al usuario final llenar sus credenciales (usuario/contraseña) con un formulario interactivo y luego la información es enviada al authorization server.
Usa este flujo solo si lo siguiente aplica:
Se le puede confiar absolutamente a la aplicación las credenciales del usuario. Para aplicaciones del lado del cliente o aplicaciones mobile se recomienda usar otros flujos.
Un flujo basado en redireccionamiento no es posible debido a que es una apliación legada. Si el redireccionamiento es posible se recomienda usar mejor Authorization Code Grant.
El usuario final ingresa sus credenciales en la aplicación (cliente) mediante un formulario.
La aplicación envía las credenciales al Authorization Server.
El Authorization Server valida las credenciales y devuelve un Access Token.
La aplicacion ahora puede usar el Access Token para llamar la API en nombre del usuario.
Detalles de implementación
Para su implementación se debe implementar de parte de la aplicación un formulario que tome las credenciales del usuario y luego pueda hacer una petición al Authorization Server. Es sumamente importante que esto suceda en una conexión segura HTTPS.
La aplicación obtiene las credenciales desde el formulario.
La aplicación hace una petición al Authorization Server.
