OAuth2 - может ли доверенный клиент получить доступ к ресурсам пользователя с потоком учетных данных клиента

Глядя на это объяснение типа предоставления учетных данных клиента на веб-сайте OAuth:

Тип предоставления Client Credentials используется клиентами для получения токена доступа вне контекста пользователя.

Обычно это используется клиентами для доступа к ресурсам о себе, а не для доступа к ресурсам пользователя.

Если клиент является доверенным приложением (разработанным внутри компании), можно ли ему получить доступ к ресурсам пользователей?

Технически приложение не является "владельцем ресурса" этих ресурсов, но поскольку это "супер" приложение, разработанное внутри компании, оно должно иметь к ним доступ для выполнения бизнес-требований организации.

Например - подумайте о своем пользователе в Google. Приложение Google Maps создает ресурсы, принадлежащие вам (например, места, которые вы "сохранили" на карте). Затем какое-то приложение-демон Google с "супер-разрешениями" может получить доступ к созданным вами ресурсам, чтобы обрабатывать их и показывать вам релевантную рекламу.

Имеет ли это смысл?

Благодаря!

Саймон.