从安全的角度来讲《》介绍的Implicit類型的Autorization Grant存在这样的两个问题：其一，授权服务器没有对客户端应用进行认证因为获取Access Token的请求只提供了客户端应用的ClientID而没有提供其ClientSecret；其二，Access Token是授权服务器单独颁发给客户端应用的照理说对于其他人（包括拥有被访问资源的授权者）应该是不可见的。Autorization Code类型的Autorization Grant很好地解决了这兩个问题

Autorization Code是最为典型的Autorization Grant，它“完美”地实现了指定的OAut初衷：资源拥有者可以在向客户端应用提供自身凭证的前提下授权它获取受保护的資源如右图所示，Autorization Code类型的Autorization Grant具有完整的“三段式”授权流程接下来，我们还要针对“集成Windows Live