Estou pesquisando sobre o protocolo OAuth 2.0.

Eu fiquei presa no problema de gerar tokens portadores para aplicativos desktop / móveis que não são executados em um servidor web.

O fluxo do protocolo OAuth 2.0 é claro para mim para aplicativos da web. Supormyapp.com quer acessarprotectedresource.com em nome do usuário Alice, então Alice é redirecionada parahttps://protectedresource.com/oauth?redirect_uri=https://myapp.com/oauth&[...] Assim, o gerente de recursos, após obter o consentimento, redireciona o navegador da Alice para uma página que irá coletar o código de autorização e usá-lo para obter o token portador.

Isso funciona bem e seguro porqueprotectedresource.com reconhecemyapp.com domínio e libera o token portador apenas para pedidos provenientes demyapp.com

Se eu estou executando um aplicativo de desktop, mesmo com o suporte de um navegador (ou seja, incorporar um visualizador de HTML em um formulário do Windows ou algo parecido)onde eu deveria redirecionar Alice após o consentimento?

Quem recolhe o código de autorização? Como o fluxo de controle muda?

Alguém tem exemplos de implementações do OAuth 2.0 em execução no computador ou no Android?