Ótima sugestão e eu tinha pensado isso de início porque de fato é muito mais cômodo... mas meu receio é abrir um problema de segurança de pessoas fazendo script para chutar um token de autorização (que é difícil, mas possui um formato válido conhecido de UUIDv4).

Em paralelo, pouco importa també porque as pessoas podem fazer script para chutar email + senha e provavelmente tem uma chance maior de achar uma combinação dado a características humanas e pelo fato da senha não expirar (diferente do token que expira). Então tudo isso realmente se protege com rate limiting.

Mas não sei, como nenhum site que vi implementa dessa forma (automática), eu fico me perguntando o motivo. Alguém consegue especular um motivo?