Beim "Implicit"-Fluss erhält der Client (wahrscheinlich ein Browser) ein Zugriffstoken, nachdem der Ressourcenbesitzer (d. h. der Benutzer) den Zugriff gewährt hat.
Beim Fluss "Autorisierungscode" hingegen erhält der Client (in der Regel ein Webserver) erst dann einen Autorisierungscode, wenn der Ressourceneigentümer (d. h. der Benutzer) den Zugriff gewährt hat. Mit diesem Autorisierungscode macht der Client dann einen weiteren Aufruf an die API und gibt client_id und client_secret zusammen mit dem Autorisierungscode an, um das Zugriffstoken zu erhalten. Hier ist alles gut beschrieben .
Beide Abläufe haben genau das gleiche Ergebnis: ein Zugriffstoken. Der "Implizite" Fluss ist jedoch viel einfacher.
Die Frage: Warum sollte man sich die Mühe machen, einen "Autorisierungscode" zu verwenden, wenn der "implizite" Fluss gut zu funktionieren scheint? Warum nicht einfach "Implicit" für den Webserver verwenden?
Das bedeutet mehr Arbeit sowohl für den Anbieter als auch für den Kunden.
