É importante destacar que o Password Grant (_Resource Owner Password Credentials Grant_) é [considerado legado][2] e [as melhores práticas atuais][1] proíbem seu uso.

No caso de um aplicativo mobile, que é considerado um cliente público, o recomendado é usar o [Authorization Code Grant + PKCE][3].

[1]: https://datatracker.ietf.org/doc/html/draft-ietf-oauth-security-topics-29#name-resource-owner-password-cre
[2]: https://oauth.net/2/grant-types/password/
[3]: https://datatracker.ietf.org/doc/html/rfc8252#section-6

**Valeu pelo comentário e pelos links! 🙌**

Você trouxe uns pontos muito importantes que eu não tinha considerado, tipo o Password Grant ser algo legado e já não recomendado nas práticas atuais.
Eu ainda tô no começo da minha carreira e confesso que ainda não estudei tanto sobre o Authorization Code Grant com PKCE, mas com certeza vou dar uma boa olhada nisso!

Brigadão mesmo por compartilhar essas informações! Se tiver mais dicas ou materiais sobre o tema, manda aí, que vou adorar aprender mais. 🚀

É importante destacar que o Password Grant (Resource Owner Password Credentials Grant) é considerado legado e as melhores práticas atuais proíbem seu uso. No caso de um aplicativo mobile,...