En OAuth, cuando el usuario autoriza al cliente el cliente obtiene un código de autorización, el cliente lo intercambia por un token que se usa para acceder al recurso.
¿Por qué necesitamos hacer este intercambio adicional de authzcode para el token de acceso? ¿No se podía usar el Authzcode directamente para obtener un recurso? ¿Qué seguridad adicional trae este intercambio?
Separar autzcode y el token permite desacoplar la autenticación y el manejo de sesiones . Las ventajas incluyen la posibilidad de usar múltiples servicios de autenticación sin adaptar el código de manejo de la sesión y detectar el mal uso por parte de proveedores malintencionados o comprometidos después de la autenticación legítima del usuario.
Para obtener más información, consulte enlace
El "Authzcode", más conocido como el "Código de Autorización OAuth" se usa en el Proceso de concesión de autorización . Este proceso específico de OAuth se usa cuando una aplicación necesita asegurar que las credenciales del propietario de un recurso nunca se compartan con el cliente. Este caso de uso específico puede entrar en juego cuando el cliente ejecuta un código que no es de confianza, como una aplicación que necesita acceso privilegiado. A continuación hay una cita de RFC-6749:
El código de autorización proporciona algunos beneficios de seguridad importantes, como la capacidad de autenticar al cliente, así como la transmisión del token de acceso directamente al cliente sin pasarlo a través del agente de usuario del propietario del recurso y exponiéndolo potencialmente a otros, incluido el propietario del recurso.
Lea otras preguntas en las etiquetas oauth