OAuth 2.0 utilizzato per l'autenticazione da Google ha senso, dato che il server e il client si fidano entrambi di Google, ma non l'uno dell'altro.
Come ho capito, il codice di autorizzazione è passato al server (nel flusso lato server) come parametro URL. Per evitare problemi di sicurezza come il delegato confuso, il codice di autorizzazione è un uso una tantum e il server può utilizzare il codice di autorizzazione per ottenere un token di accesso e un token di aggiornamento.
La mia domanda è: perché questo processo non può essere semplificato se Google (un'entità fidata) invia direttamente il token di accesso al server (e non attraverso il client)? Ciò eliminerebbe la necessità di un codice di autorizzazione. Google può essere certo che stia inviando il token di accesso nel posto giusto perché il cliente avrebbe registrato in anticipo il redirect_uri
con Google. Sembra che sia un modello generale che questi protocolli hanno il provider di identità che invia solo cose al server attraverso il client.