了解Oauth的进来下

Oauth1.0 和 2.0中都要先获取request token再去获取access token。为什么不能直接返回access token呢。拿Oauth2.0来说，
1、先把用户引导至登陆授权页面，（夹带参数client_id,redirect_uri,scope,response_typ=code）
2、用户授权后返回到回调url,并把request token作为参数返回
3、通过request token(客户端secret key以及其他参数)去获取access token
4...
...
为什么不能在第二步直接返回access token呢，是出于什么考量。

自己顶一下