Für normale Skills mit Account Linking kann man ja auswählen, ob man als Authorization Grant Type den Implicit Grant nimmt, da bekommt Amazon den "Bearer" zurückgeliefert, oder ob man "Auth Code Grant" nimmt, da bekommt Amazon zuerst einen Auth Code zurück und mit dem Auth Code muss sich Amazon dann den access token holen. So ganz klar ist mir nicht, warum es diese beiden Fälle gibt.
Aber nehmen wir an, jemand implementiert "Auth Code Grant" und gibt aber als Code schon den access token zurück, weil es einfacher ist.
Und wenn sich Amazon dann mit dem Code den access token holen will, macht die Webseite im Grund gar nichts, sie gibt einfach den Code wieder zurück, der ja schon den access token darstellt. Ist das ein Sicherheitsrisiko?