Я занимаюсь исследованием протокола OAuth 2.0.

Я застрял в проблеме генерации токенов на предъявителя для настольных / мобильных приложений, которые не работают на веб-сервере.

Поток протокола OAuth 2.0 мне понятен для веб-приложений. предполагатьmyapp.com хочет получить доступprotectedresource.com от имени пользователя Алиса, Алиса перенаправляется наhttps://protectedresource.com/oauth?redirect_uri=https://myapp.com/oauth&[...] поэтому менеджер ресурсов, после получения согласия, перенаправляет браузер Алисы на страницу, которая будет собирать код авторизации и использовать его для получения токена на предъявителя.

Это работает нормально и безопасно, потому чтоprotectedresource.com признаетmyapp.com домен и выпускает токен на предъявителя только на запросы, поступающиеmyapp.com

Если я запускаю настольное приложение, даже с поддержкой браузера (т.е. встраиваю средство просмотра HTML в форму Windows или что-то в этом роде)куда я должен перенаправить Алису после согласия ??

Кто собирает код авторизации? Как меняется поток управления?

У кого-нибудь есть примеры реализации OAuth 2.0 на настольном компьютере или Android?