OAuth 2.0 برای احراز هویت توسط Google مورد استفاده قرار می گیرد، زیرا سرور و سرویس گیرنده هر دو به گوگل اعتماد دارند، اما نه یکدیگر. همانطور که می دانم، کد مجوز به عنوان یک پارامتر URL به سرور (در سمت سمت سرور) منتقل می شود. برای جلوگیری از مسائل امنیتی مانند معاون اشتباه، کد مجوز یک بار استفاده است و سرور می تواند از کد مجوز برای به دست آوردن یک نشانه دسترسی و نوشتن نشانه استفاده کند. سوال من این است که چرا این فرایند ساده نیست اگر گوگل (یک موجود اعتماد) مستقیما رکوردهای دسترسی به سرور (و نه از طریق مشتری) را ارسال کند؟ این نیاز به یک کد مجوز را از بین می برد. گوگل می تواند مطمئن باشد که این رمز عبور را به مکان مناسب ارسال می کند زیرا مشتری قبلا redirect_uri را با Google ثبت کرده است. به نظر می رسد یک الگوی کلی است که این پروتکل ها ارائه دهنده هویت تنها از طریق مشتری به سرور می فرستد.
