Según el estándar OAuth de tres patas, un auth_code
se sirve como un parámetro de URL, mientras que la URL es el redirect_uri
especificado durante el registro del cliente. Supongo que es una respuesta HTTP 302 enviada por el servidor OAuth que causa la redirección del navegador. Me pregunto por qué auth_code
no se publica en el cuerpo de una página web generada por el servidor OAuth; enviando de vuelta respuesta HTTP 200 regular. ¿Hay alguna implicación de seguridad asociada con el servicio de auth_code
sobre redirect_uri
en lugar de servir dentro del cuerpo de la página web?