In OAuth, quando l'utente autorizza il client a ricevere un codice di autorizzazione, il client lo scambia per un token che viene utilizzato per accedere alla risorsa.
Perché abbiamo bisogno di fare questo scambio extra di authzcode per il token di accesso? Non è possibile utilizzare direttamente Authzcode per ottenere una risorsa? Quale ulteriore sicurezza porta questo scambio?