Недостаток сервера и клиента OAuth 2.0

Question

Я следую за описанием о server and client side OAuth 2.0. У меня есть несколько вопросов:

1. Почему в стороне сервера есть необходимость «торговать код авторизации для маркеров доступа» (пункт 7 из ссылки выше)? Почему в пункте 6. сервер OAuth (Facebook) не может отправить токен вместо кода авторизации?

2. Основываясь на этом описании, клиентская сторона выглядит намного проще. Почему так нам не нужно «торговать кодом авторизации для токена доступа» и сразу же получить токен?

3. Когда вы выбираете клиента и серверу?

Answer 1

a. потому что backchannel позволяет серверу аутентифицировать сам по себе при обмене кодом, что позволяет использовать более безопасную/надежную/заблокированную установку

b. потому что лучше не выставлять токены на стороне клиента, если они будут использоваться только на стороне сервера; code очень короткое время и только разовое использование, в отличие от access_token

c. поскольку упомянутая серверная сторона более безопасна, поскольку позволяет серверу аутентифицировать , но если у вас есть только клиент (приложение с одной страницей), единственным вариантом является , который передает токен непосредственно на стороне клиента; также, если аутентификация невозможна на заднем канале, обе опции равны с точки зрения безопасности; Единственным преимуществом потока на стороне клиента в этом случае является то, что он более прямой