Ваше беспокойство обосновано, но получение токена в URI перенаправления является центральным для того, как работают потоки OAuth, независимо от того, является ли это Azure AD или любым другим IdP OAuth.
От Обзор URI перенаправления OAuth :
Поскольку URL перенаправления будет содержать конфиденциальную информацию, крайне важно, чтобы служба не перенаправляла пользователя в произвольные местоположения.
Лучший способ гарантировать, что пользователь будет перенаправлен только в соответствующие местоположения, - это потребовать, чтобы разработчик зарегистрировал один или несколько URL-адресов перенаправления при создании приложения.
Вы перенаправляете их на источник, которым вы управляете с использованием зашифрованного канала, и этого достаточно для текущих операций безопасности Inte rnet.