最近在看OAuth协议，遇到一个问题就是，书上解释为什么在Request Token URL之后没有直接返回accessToken的原因有两个，一个是可以多加一次对请求方的身份认证，第二个是因为服务器端的redirect_uri是不安全的，要传输code这种不敏感信息

我的问题是，加了code之后，服务器端的确会多加一次认证，但是认证之后，accessToken是否还是通过redirect_uri返回给请求方的……如果是，那redirect_uri还是不安全的啊，如果不是，那这个token是怎么返回去的呢？

这张图片足以说明这个问题

这张图片足以说明这个问题

哦哦，我好像有点明白了，返回的Access Token是在URI Fragment中返回，只有客户端代码才可以获取access_token，其不是通过redirect-uri返回的，之前发送的request携带的这个参数只是为了校验用。