Не могу понять, как защищают токен доступа путем передачи его в хэш фрагменте. Вот здесь говорят, что хэш фрагмент не передается по сети, поэтому никто не может перехватить токен, только браузер пользователя и, соответственно, веб приложения, открытые в браузере имеют к нему доступ с помощью JS. Я задавал уточняющий вопрос , который задам и здесь - даже если предположить, что браузер при редиректе передает только POST/GET параметры, а хеш фрагмент вставляет после рендеринга страницы, как-то же он получает этот хеш фрагмент. Там разве сеть не используется? Я имею в виду, происходит редирект юзер-агента с клиента (потребителя ресурсов) на сервер с ресурсами, он и выдает токен в редирект УРЛ. Но как работает редирект юзер-агента под капотом - по идее, это просто команда сервера другой проге-браузеру, по-любому общение происходит по сети, так что не врубаюсь я в этоу магию с хек фрагментом.

То есть, я понимаю, как браузер умудряется не передать токен и все равно сделать его видимым другому приложению - скорее всего, как я пишу выше, он держит его в ОЗУ, потом по Яваскрипт любое веб-приложение забирает токен, но как браузер получает этот гребаный токен с сервера, который его и генерит?