Warum Autorisierungscode ist in Oauth2 notwendig?

Question

Berechtigungscode-Berechtigung ist eine der vier Berechtigungserteilungsarten in OAuth2. Bei der Implicit Grant wird das Autorisierungstoken als Antwort direkt zurückgeschickt, aber bei der Autorisierungscode-Zuteilung wird Code als Antwort zurückgeschickt, der dann zum Abrufen des Tokens vom Autorisierungsserver verwendet wird.

Meine Frage ist, warum Authorization Code für Authorization Code Grant erforderlich ist, anstatt direkt zurück Token wie Implicit Grant?

Answer 1

Mit dem Autorisierungscode Grant geschieht der Austausch eines Autorisierungscodes für ein Token auf der Serverseite (d. H. Nicht direkt im Browser). Auf diese Weise können das Client-Geheimnis und das Token "sicherer" auf dem Server aufbewahrt werden. Lesen Sie here über die "Vereinfachungen", die der implizite Fluss auf Kosten einiger Auswirkungen auf die Sicherheit macht