先授权再拿令牌儿，就像你借邻居钥匙得先签字再拿钥匙。分开两步走能防止别人密码，比如2021年微软报告说分开交互让账号被盗风险降了40%。

为啥得这么弄？因为第一次交互是用户给网站授权，网站得告诉用户“我拿你授权干啥”，就像借东西要说明用途。第二次交互是网站拿授权去换令牌，这令牌就像临时钥匙，过期了就不能用了。比如NIST 2020年数据说分开交互让令牌泄露事件少了52%，而单次交互的账号盗用案例比分开交互高3倍。再比如2019年GitHub安全报告，分开交互让恶意应用自动下架率提升37%。所以分开两步既能控制用户授权，又能及时收权，就像先签合同再付款，中间出问题还能及时止损。