Поток кода авторизации OAuth2 должен быть инициализирован на вашем бэкэнде.Ваш бэкэнд должен также обработать перенаправление с сервера авторизации (который содержит код авторизации).Вероятно, вам нужен клиентский секрет для доступа к конечной точке токена, вы должны хранить его на бэкэнде, потому что невозможно сохранить его в браузере.
Вам не нужно следовать перенаправлениям.Перенаправления всегда вызывают вызов браузера -> server (backend), поскольку браузер обрабатывает перенаправление, создавая HTTP-запрос.
Существуют разные потоки OAuth2 , предназначенные для различных случаев использования.Какой из них использовать, это во многом зависит от того, как вы хотите его использовать и как выглядит ваша инфраструктура (вы можете сформулировать новый вопрос, когда он станет более понятным для вас).Если вы хотите узнать больше об OAuth2, я бы посоветовал вам прочитать его RFC .Он хорошо написан, легко читается и не пропускает никаких важных деталей.Существует также расширение протокола OAuth2 под названием OpenID Connect , предназначенное для аутентификации.