OAuth2 token Request Body vs Request Header

안녕하세요 백엔드 엔지니어를 희망하는 대학생 개린이(?)입니다. 최근 소셜 로그인을 백엔드에서 구현하고 있습니다. 클라이언트 팀원분에게 OAuth2 access & refresh token을 서버측으로 전달해주신다고 하셨습니다. 데이터를 받아올 때 body와 header 중 어느것으로 받는 것이 좋을까요? 단순 보안적인 측면을 생각했을 때 header가 더 낫다고 생각했으나, 사실 얼마나 보안적으로 차이가 있는지 명확하게 알지 못해서 질문드립니다!