Non sono in grado di apprezzare quale sia il vantaggio di avere un codice di autorizzazione dato al client e quindi di scambiarlo per il token di accesso sul lato webapp. Invece, perché non dare semplicemente access_token al client e chiedere al cliente di trasmettere queste informazioni alla webapp per accedere alle risorse sicure. Questo è ciò che accade comunque nella concessione implicita.
Certo, puoi farlo, e in effetti è un flusso supportato come hai detto. Tuttavia, il punto del codice è impedire al client stesso di accedere al token. Ciò impedisce il furto o la fuoriuscita del token perché è limitato agli interni della stessa app web, invece di essere condiviso con chi ha bisogno di utilizzare il servizio.
Ricorda che i flussi si applicano a diversi scenari.
I flussi impliciti vengono utilizzati quando è necessario accedere al token, ma non fidarsi / non fidarsi del client come un'app eseguita localmente sul computer dell'utente - un utente malintenzionato potrebbe facilmente impersonare il client.
I flussi di codice vengono utilizzati quando puoi fidarti e verificare il client perché, ad esempio, è ospitato su una macchina remota a cui non hai accesso.
Leggi altre domande sui tag authorization oauth2