Я работаю над реализацией авторизационного потока 2.0.
Просто интересно, как правильно передать токен авторизации клиентскому приложению после успешного перенаправления от провайдера аутентификации. Я передаю токен в URL, но он не выглядит безопасным - красная линия на диаграмме https://my.app.com/sso/:token. Я не хочу использовать куки, идея состоит в том, чтобы использовать заголовок Authorization для дальнейших запросов.
