oauth为什么要传授权码code而不直接用访问令牌

OAuth协议中为什么要传递授权码code而不直接使用访问令牌的原因是为了增加安全性。

当用户使用第三方应用程序登录到一个资源服务器时，资源服务器不能直接将访问令牌发送给第三方应用程序，因为这样做会暴露用户的访问令牌，存在安全风险。如果第三方应用程序不是可信的，那么用户的访问令牌可能会被滥用。

因此，OAuth协议引入了授权码的概念。授权码是一次性的，只能被用于获取访问令牌，不能被重复使用。授权码只会发送给注册了回调URL的第三方应用程序，这样可以确保只有授权过的应用程序才能收到授权码。第三方应用程序收到授权码后，再使用该授权码向授权服务器请求访问令牌。这样，用户的访问令牌不会直接暴露给第三方应用程序，提高了安全性。

另外，使用授权码的方式还可以增加用户的参与度和控制权。用户在登录第三方应用程序时，可以看到授权请求的详细信息，包括请求的权限范围。用户可以选择是否授权给第三方应用程序访问特定的资源。这样用户更加清楚其授权的范围，有更多的控制权。

综上所述，使用授权码的方式可以提高OAuth协议的安全性，并增加用户的参与度和控制权。