Oauth2的RFC指出,生成授权代码时指定的redirect_uri必须包含在将访问令牌交换代码的请求中。
从RFC:
4.1.3。访问令牌请求
客户端通过发送令牌向令牌端点发出请求 以下参数使用“ application / x-www-form-urlencoded” 附录B中的格式,在HTTP中使用UTF-8字符编码 请求实体-正文:
[...]
redirect_uri
必需,如果“ redirect_uri”参数包含在 4.1.1节中所述的授权请求及其 值必须相同。
https://tools.ietf.org/html/rfc6749#section-4.1.3
为什么在将代码交换为访问令牌时需要redirect_uri?这有什么好处?