RFC для Oauth2 говорит, что redirect_uri, который был указан при создании кода авторизации, должен быть включен в запрос на обмен кода для токена доступа .
Из RFC:
4.1.3.Запрос токена доступа
Клиент отправляет запрос конечной точке токена, отправляя следующие параметры в формате «application / x-www-form-urlencoded» в Приложении B с кодировкой символов UTF-8 вТело сущности HTTP-запроса:
[...]
redirect_uri
REQUIRED, если в запрос на авторизацию был включен параметр "redirect_uri", как описано в разделе 4.1.1, и их значения ДОЛЖНЫ быть идентичны.
https://tools.ietf.org/html/rfc6749#section-4.1.3
Почему redirect_uri требуется при обмене кода для токена доступа?Какую пользу это дает?