Per lo standard OAuth a tre vie, un auth_code
viene offerto come parametro URL, mentre l'URL è il redirect_uri
specificato durante la registrazione del client. Immagino sia una risposta HTTP 302 inviata dal server OAuth che causa il reindirizzamento del browser. Mi chiedo perché auth_code
non sia pubblicato nel corpo di una pagina web generata dal server OAuth; inviando così una normale risposta HTTP 200. C'è qualche implicazione sulla sicurezza associata a servire auth_code
su redirect_uri
invece di servire all'interno del corpo della pagina web?