oauth-2.0 - OAuth2.0 隐式授权流程。为什么要使用 url 哈希片段？

Question

通过新的 OAuth2.0 规范 ( rfc 6749 )，我看到隐式授予协议(protocol)工作流使用 Url Hash Fragments 在授权服务器和公共(public)客户端之间交换“access_token”。
见规范:https://www.rfc-editor.org/rfc/rfc6749#section-4.2
授权授权响应不能作为“查询参数”而不是 URL 片段发送，保持流程的其他部分不变吗？
基本上我无法理解使 OAuth2 的规范作者选择 url 哈希片段来进行隐式授权流授权的限制？

Answer 1

隐式授予流程是为 java 脚本客户端完成的，我认为他们使用的是 '#' 而不是 '?'不将访问 token 发送到您的重定向 URL 的服务器端，但它仍然可以访问 javascript，在我们的例子中是客户端可能是出于安全原因“不通过网络共享您的访问 token 可能像用于重定向 URL 的那样不安全”