При использовании типа предоставления пароля владельца ресурса, кажется, что сервер авторизации должен отвечать кодом статуса HTTP 400 (Bad Request), если токен доступа не может быть предоставлен из-за того, что владелец ресурса вводит неверный пароль. Я пришел к выводу, что это основано на моем понимании RFC 6749, раздел 5.2 **, в котором говорится: "Сервер авторизации отвечает кодом статуса HTTP 400 (Bad Request)" в случае, когда токен не может быть предоставлен из-за недействительного_grant. Причины, перечисленные для invalid_grant, включают учетные данные владельца ресурса, которые недействительны.
Правильно ли я понимаю? Если да, то почему вместо HTTP 401 (неавторизованный) возвращается? При базовой аутентификации неверный пароль приводит к ошибке 401. Почему OAuth 2.0 предусматривает возврат 400? Это потому, что 401 зарезервирован для недопустимых учетных данных клиента?