to zróbcie to tak aby nikt nie miał wątpliwości o co chodzi:
w panelu allegro zakładka "Uprawnienia dla aplikacji zewnętrznych"
i tam pozycja np: "pełen dostęp do aukcji dla aplikacji" i lista do wyboru zarejestrowanych webapi aplikacji (search).

albo lepiej - można też zrobić tak:
aplikacja z WebAPI wysyła request do allegro - na specjalną stronę gdzie klient allegro i aplikacji webapi może się zalogować na swoje konto allegro i wyklikać uprawnienia dla aplikacji i potem opcjonalnie allegro przesyła wynik operacji do aplikacji webapi.
następnie aplikacja webapi ma dostęp do danego konta allegro i operacji na nim (nawet bez hasła i bez tokena - bo za każdym razem allegro.pl sprawdza czy jest zautoryzowana para klient_allegro - id_aplikacji_webapi)
może tu być token autoryzujący, ale jest zbyteczny - chyba, że autoryzacja miałaby być ograniczona czasowo - wtedy token ma racje bycia.

zaleta tutaj jest podwójna: łatwość przydzielania praw - nawet w iframe/popup na stronie aplikacji webapi.
a dwa to ułatwienie komunikacji w API.

teraz jest tak, że API żąda hasła (wprost lub zakodowanej wersji wygenerowanej z podstawowej)
ujawnianie haseł nie jest dobre - i nie jest potrzebne w API.
zagrożeniem jest dostęp do finansów klientów allegro.
zmiana hasła w allegro też wpływa na używanie webapi.

opisałem ten problem szerzej w zgłoszeniu na temat dodania ACL (użytkownicy allegro w swoich ustawieniach dają różne poziomy uprawnień dla aplikacji webapi)

z punktu biznesowego jest to najlepsza propozycja jaka mogła paść.
nie zero zmian, lecz mniej zmian (tylko najlepsze, najbardziej przetestowane i potrzebne zmiany)

raczej jako alternatywa, ale warto dać taką możliwość