Uma solicitação típica para obter o código de autorização é:
https://authorization-server.com/auth?response_type=code&client_id=2935291598237423985&redirect_uri=https%3A%2F%2Fexample-app.com%2Fcallback&scope=create+delete&state=xcoiv98y2kd22vusuye3kch
Não há informações de identidade do usuário nesta solicitação. Como o servidor de autorização (por exemplo, Google) sabe qual permissão de usuário é necessária para emitir o código de autorização para o aplicativo (por exemplo, stack overflow)?
A solicitação/redirecionamento inicial não contém informações de identidade do usuário.
O fluxo de código é baseado em redirecionamentos. O servidor de autorização solicitará que o usuário final faça login (ou faça login automaticamente no usuário final). O servidor de autorização e o usuário final trocarão várias solicitações para autenticar o usuário final.
O usuário que efetua login no servidor de autorização é o sujeito que a parte confiável receberá.
Consulte a RFC do OAuth 2.0 para obter mais informações sobre o fluxo de código.