Estoy aprendiendo OAuth 2.0 y no pude obtener la forma de asegurar el token de acceso enflujo de concesión implícito. Hay algunas tesis en la especificación y algunas respuestas SO votados que parecen contradictorias entre sí. ¿Alguien podría aclararlo? Citas de SO respuestas y especificaciones que me confunden:

(De la especificación) URI de redireccionamiento utilizado para entregar el token de acceso al cliente. El token de acceso puede estar expuesto al propietario del recurso u otras aplicaciones con acceso al agente de usuario del propietario del recurso.(De la especificación) Las credenciales de token de acceso (así como cualquier atributo de token de acceso confidencial) DEBEN mantenerse confidenciales en tránsito y almacenamiento, y solo compartidas entre el servidor de autorización, los servidores de recursos para los que es válido el token de acceso y el cliente para el que Se emite el token de acceso. Las credenciales de token de acceso solo DEBEN transmitirse mediante TLS.(Derespuesta SO aceptada y votada) En el flujo implícito, el token de acceso se pasa como un fragmento hash, solo los navegadores conocen el fragmento hash. Los navegadores pasarán el fragmento de hash directamente a la página web de destino / el URI de redireccionamiento que es la página web del cliente (el fragmento de hash no forma parte de la solicitud HTTP), por lo que debe leer el fragmento de hash utilizando Javascript. El fragmento hash no puede ser interceptado por servidores / enrutadores intermedios (esto es importante).

Mi pregunta:

P1 dice que el token entregado al cliente a través de URI de redireccionamiento y P2 dice que el canal de entrega DEBE ser TLS-ed. Pero P3 dice quefragmento de hash que no se envía a la red. ¿Cómo llega el token de acceso al cliente si no está enviando porque es un fragmento hash? De todos modos, tiene que ser enviado por la red, ¿no? ¿O enviar un token con URI de redireccionamiento hace algo de magia sin ofertas de red?

La única explicación probable: debajo del capó, el navegador envía solo una parte no URL de URL por red y después de cargar una nueva página, simplemente inserta un fragmento de hash y lo pone a disposición de JS. Si estoy en lo cierto, todavía no puedo entender por qué no simplemente enviamos token concanal HTTPS confiable y seguro como parámetro de respuesta?