アプリケーションが OAuth 2.0 における認可を得る際の手順は、そのアプリケーションの性格によっていくつかの系統に分かれる。このあたりは google のドキュメントなどにまとまっているのだが、つまり Web サーバが主体になる場合 ネイティブアプリケーションが主体になる場合 ブラウザが主体になる場合 と大別される。いずれにしても、基本的には 認可を得るための一時的なコードを得るための最初のリクエスト(これは正確には認可を得るためのページを web ブラウザで開くだけの処理だ。認可を得るかどうかはそのページを見ているユーザが判断する) そのコードをアクセストークンへ交換するための 2 度目のリクエスト 得たアクセストークンが正しいものであるかの確認のリクエスト(これは認可を得るための必須の処理ではないけれど、普通は行う) を順に行うという流れに従うのだが、何が主体になるかで微妙なとこ