@drq если ты /oauth/authorize в залогиненном браузере открываешь, то этот же браузер по редиректу и пойдёт.
Поэтому адрес назначения в редиректе должен вести в приложение, чтобы приложение могло достать значение кода самостоятельно.
А иначе в этой затее нет смысла.
Если редирект будет на мёртвую ссылку, то браузер успешно пойдёт и по ней. И код можно будет скопировать из адресной строки, если хочется, но со специальной страницы Мастодона это делать всё же удобнее.
А если ты хочешь и чтоб на /oauth/authorize приложение сходило само, это ему нужны будут логин+пароль или сессия, чего ты вроде как хочешь избежать.
@dside Я хочу избежать их *хранения*. Ну, а так - это единственные реквизиты, доступные пользователю, пусть введет разок.
@mo