为什么在 HTTP 请求的“授权”标头中的令牌之前需要“持有者”？

我正在尝试连接到FatSecret API。这是他们为oauth2授权提供的留档链接：https://platform.fatsecret.com/api/Default.aspx?screen=rapiauth2#using-token-api 我已经完成了第一步和第二步，现在我被困在第三步。我已经设法用“application/json”更新了标题，但我不确定我的调用是否包括我创建的令牌。我得

例如，当我有一个post方法-登录时，我得到了签名的JSON Web令牌。我在youtube上看了一些教程，当他们检查用户是否被授权时，他们会在授权标头中发送JWT，例如： 不记名令牌 我的问题是：当同样的事情在工作时，如果我们只发送授权标头中的令牌，而没有令牌前面的“持有人”，他们为什么要这样做？

我的问题是：为什么这是流动？我想是出于安全原因，但我想不通。为什么实现是这样的，而不是在第一次调用（“/authorize”）之后立即获得访问令牌？ 我们为什么需要这个代码？

HTTP规范说； HTTP访问身份验证在“HTTP身份验证：基本和摘要访问身份验证”[43]中进行了描述。如果请求经过身份验证并指定了一个领域，则相同的凭据应该对该领域内的所有其他请求有效（假设身份验证方案本身不需要其他凭据，例如根据质询值变化的凭据或使用同步时钟）。 我真的不明白这意味着什么，但这是我的情况，这里有反对 HTTP 规范的东西吗？我使用 Java Rest 服务 客户端使用HTTP

我使用springfox 2.9.2我有这样的api： 女巫来自身份验证服务器。我尝试在swagger中首次调用此服务器，并将其传递给像上面这样的控制器请求。所以我做 在Swagger ui上，授权调用成功返回了令牌，但它没有将令牌添加到请求头中。它会产生 如果我像这样设置令牌：

使用oAuth 2.0，在“授权代码”授权授予中，我首先调用“/授权”，获取代码，然后在对“/令牌”的调用中使用该代码来获取访问令牌。 我的问题：为什么这是流？我想这是出于安全原因，但我想不出来。为什么实现是这样的，而不是在第一次调用（“/authorize”）后立即获取访问令牌？ 为什么我们需要这个代码？