OAuth 2.0 имеет несколько рабочих процессов. У меня есть несколько вопросов относительно двух.

Поток кода авторизации - Пользователь входит в систему из клиентского приложения, сервер авторизации возвращает код авторизации в приложение. Затем приложение обменивает код авторизации на токен доступа.Неявный поток грантов - Пользователь входит в систему из клиентского приложения, сервер авторизации выдает токен доступа клиентскому приложению напрямую.

В чем разница между двумя подходами с точки зрения безопасности? Какой из них более безопасный и почему?

Я неНе вижу причины, по которой дополнительный шаг (код авторизации обмена для токена) добавляется в один рабочий процесс, когда сервер может напрямую выдать токен доступа.

Различные веб-сайты говорят, что поток кода авторизации используется, когда клиентское приложение может обеспечить безопасность учетных данных. Зачем?