نوع دیگری از Grant به نام Password Grant میباشد که راهی برای مبادله اعتبارنامه (credential) کاربر برای یک access token است. از آنجا که client باید رمز عبور کاربر را جمعآوری کرده و آن را به authorization server ارسال کند، استفاده از این Grant توصیه نمیشود چون در این روش کاربر اطلاعات خود (نام کاربری و رمز عبور) را در مرورگر سمت Client وارد میکند نه در سرور احراز هویت یا authorization server. اما این اطلاعات به سرور احراز هویت تعلق دارد و نباید در اختیار کلاینت قرار گیرد. ممکن است صفحه کلاینت جعلی باشد و رمز عبور کاربر را در سرور اصلی تغییر دهد.
این Grant، مکانیزمی را برای مواردی مانند تایید اعتبار چند فاکتوری فراهم نمیکند، بنابراین در عمل کاملا محدود است. همچنین در آخرین نسخه OAuth 2.0 Security Best Current Practice ذکر شده است که این روند به طور کامل مجاز نیست.
· grant_type : پارامتر ضروری است که نوع مجوز را مشخص میکند و در این حالت مقداری برابر با password دارد.
· username : ضروری است و نام کاربری کاربر میباشد.
· password : ضروری است و گذرواژه کاربر را در برمیگیرد
· Client Authentication : شامل client_id و client_secret میباشد و در صورتی ضروری است که کلاینت قبلا این موارد را دریافت کرده باشد. البته این موارد میتوانند به جای این که در درخواست قرار بگیرند در HTTP Basic auth header باشند.
کد زیر نمونهای از درخواست کلاینت به Authorization Server میباشد :
POST /oauth/token HTTP/1.1
Host: authorization-server.com
grant_type=password
&username=user@example.com
&password=1234luggage
&client_id=xxxxxxxxxx
&client_secret=xxxxxxxxxx
پاسخی که از Authorization Server به کلاینت برگردانده میشود، اگر موفق باشد شامل Access Token میباشد که بسیار شبیه روش های قبلی است.