Según el estándar OAuth de tres patas, un auth_code se sirve como un parámetro de URL, mientras que la URL es el redirect_uri especificado durante el registro del cliente. Supongo que es una respuesta HTTP 302 enviada por el servidor OAuth que causa la redirección del navegador. Me pregunto por qué auth_code no se publica en el cuerpo de una página web generada por el servidor OAuth; enviando de vuelta respuesta HTTP 200 regular. ¿Hay alguna implicación de seguridad asociada con el servicio de auth_code sobre redirect_uri en lugar de servir dentro del cuerpo de la página web?