He usado json webtokens para manejar la autenticación de algunos sitios web de pasatiempos en el pasado. Para mi próximo sitio, me gustaría usar OAuth2, para permitir que mi sitio se use con otros servicios.
Parece que el protocolo de código de autorización OAuth2 agrega algunos pasos adicionales (estado y código de autorización) para evitar una especie de ataque de repetición en el que un cliente es engañado para que use un token de acceso emitido a otro cliente.
¿Es ese el único propósito de emitir un código de autorización antes del intercambio de token? Si agrego información como client_id y tiempo de vencimiento en un JWT firmado y lo devuelvo como el 'código de autorización', omitiendo el paso de intercambio de token, ¿habré perdido alguna seguridad? Supongo que todas las comunicaciones se producen a través de https.