He estado leyendo la especificación OAuth2 y la sección 3.1.2 indica que la redirección El parámetro uri (la devolución de llamada utilizada después de una autenticación exitosa para redirigir nuevamente al servicio) debe ser un uri absoluto. He luchado sin éxito para averiguar exactamente por qué esto está en la especificación: ¿es crítico para la seguridad? Si es así, ¿está protegiendo contra usos no confiables (autenticación de Facebook) o más flujos auditados donde la misma organización ejecuta el cliente y el IdP?