La Sección 4.1 de OAuth 2.0 RFC dice:
(A) El cliente inicia el flujo dirigiendo el propietario del recurso usuario-agente para el punto final de autorización. El cliente incluye su identificador de cliente, alcance solicitado, estado local y un URI de redirección a la que el servidor de autorización enviará el El usuario-agente vuelve una vez que se concede (o se niega) el acceso.
En consecuencia, el usuario (potencialmente) verá algo como lo siguiente en el agente de usuario (por ejemplo, un navegador):
Me preocupa especialmente el redirect_uri
. ¿No está esto exponiendo demasiada información a un agente malicioso?