Non sono in grado di apprezzare quale sia il vantaggio di avere un codice di autorizzazione dato al client e quindi di scambiarlo per il token di accesso sul lato webapp. Invece, perché non dare semplicemente access_token al client e chiedere al cliente di trasmettere queste informazioni alla webapp per accedere alle risorse sicure. Questo è ciò che accade comunque nella concessione implicita.