最近在看OAuth协议,遇到一个问题就是,书上解释为什么在Request Token URL之后没有直接返回accessToken的原因有两个,一个是可以多加一次对请求方的身份认证,第二个是因为服务器端的redirect_uri是不安全的,要传输code这种不敏感信息
我的问题是,加了code之后,服务器端的确会多加一次认证,但是认证之后,accessToken是否还是通过redirect_uri返回给请求方的……如果是,那redirect_uri还是不安全的啊,如果不是,那这个token是怎么返回去的呢?