Per lo standard OAuth a tre vie, un auth_code viene offerto come parametro URL, mentre l'URL è il redirect_uri specificato durante la registrazione del client. Immagino sia una risposta HTTP 302 inviata dal server OAuth che causa il reindirizzamento del browser. Mi chiedo perché auth_code non sia pubblicato nel corpo di una pagina web generata dal server OAuth; inviando così una normale risposta HTTP 200. C'è qualche implicazione sulla sicurezza associata a servire auth_code su redirect_uri invece di servire all'interno del corpo della pagina web?