OAuth 2.0 verfügt über mehrere Workflows. Ich habe ein paar Fragen zu den beiden.

Ablauf des Autorisierungscodes - Der Benutzer meldet sich über die Client-App an. Der Autorisierungsserver gibt einen Autorisierungscode an die App zurück. Die App tauscht dann den Autorisierungscode gegen Zugriffstoken aus.Impliziter Zuschussfluss - Der Benutzer meldet sich von der Client-App aus an. Der Autorisierungsserver gibt direkt ein Zugriffstoken für die Client-App aus.

Was ist der Unterschied zwischen den beiden Ansätzen in Bezug auf die Sicherheit? Welches ist sicherer und warum?

Ich sehe keinen Grund, warum ein zusätzlicher Schritt (Austauschautorisierungscode für Token) in einem Arbeitsablauf hinzugefügt wird, wenn der Server direkt ein Zugriffstoken ausstellen kann.

Verschiedene Websites geben an, dass der Autorisierungscode verwendet wird, wenn die Client-App die Anmeldeinformationen schützen kann. Warum?