Существует sample implementation сервера авторизации OAuth 2.0 и пример рабочего процесса для каждого типа гранта.OAuth 2.0 Code Grant flow
IETF имеет спецификацию OAuth 2.0 для Code Grant Flow. Когда вы посмотрите на шаги «D» & «E» в графике потока грантов IETF, они, похоже, не реализованы в реализации примера (первая ссылка).
Где шаги D & E в образце реализации? Я знаю, что это примерная реализация, которая не готова к производству, но я предположил, что она будет следовать спецификациям OAuth 2.0.
В образце приложения клиент получает код, но не передает его на сервер OAuth для получения токенов. На самом деле он получает жетоны, включая код уже в шаге 3.