对于Web服务器应用程序,Google表示要使用应用程序类型“Web应用程序” - 请参阅:
https://developers.google.com/identity/protocols/OAuth2WebServer
但是从测试来看,这似乎允许最终用户将用户发送到的URL中的response_type从“code”更改为“token”,然后允许他们在身份验证流程结束时直接获取访问令牌 .
其他一些API提供程序在OAuth应用程序的设置屏幕中提供了一种机制,可以完全禁用此auth流程,这似乎是合理的 .
我在这里错过了什么吗?