Почему код авторизации необходим в Oauth2?

Question

Код авторизации. Грант является одним из четырех типов предоставления разрешений в OAuth2. В Implicit Grant токен авторизации отправляется обратно в ответ, но в Credence Code Grant код отправляется обратно в ответ, который затем будет использоваться для извлечения маркера с сервера авторизации.

Вопрос в том, почему код авторизации необходим для авторизации кода авторизации вместо прямой отправки маркера, как это делается в неявном гранте?

Answer 1

С предоставлением разрешающего кода обмен авторизационным кодом для токена происходит на стороне сервера (то есть непосредственно не в браузере). Таким образом, клиентский секрет и токен могут быть безопаснее сохранены на сервере. Прочитайте here о «упрощениях» неявного потока за счет некоторых последствий для безопасности