自动化代码在oauth2中是否安全？

我对oauth2完全陌生。我需要实现oauth2来保护我的REST服务。在阅读了不同的博客文章后，我理解了

有三种东西，客户端、提供商和webapp

Web app希望从提供商处访问有关用户的信息

如果客户端允许，提供商将在查询字符串中向客户端和webapp提供授权代码

现在，web应用程序将使用授权代码获取访问令牌，使用该令牌可以访问资源

现在我对授权码有点困惑。安全吗

授权码的有效期是多少？如果其他人将窃取授权码，他是否能够访问用户资源

建议授权代码的最长生存期为10分钟（）。换句话说，授权码在10分钟后过期

---

授权码就像一张票据，在令牌端点与访问令牌交换。授权码不是访问令牌，因此任何人都不能使用授权码访问任何数据。此外，OAuth 2.0服务器将在交换后丢弃或使授权代码无效。

这两个请求必须通过HTTPS（强制）完成，因为它们是对OAuth服务器的请求，OAuth服务器必须只支持HTTPS。只有客户机/请求服务器不必支持HTTPS，因此只有身份验证代码可能通过HTTP以明文形式发送。但是，如果没有客户端ID/Secret，身份验证代码是无用的。基本上，OAuth代码流的要点是，拥有启用SSL的服务器的负担在于OAuth提供商（Google/Facebook等），而不是API的用户