问混合流Web攻击者知道重定向URL (IdentityServer4)

EN

在我的头脑中有一些混乱的混合流。

在这个场景中，假设我们有一个本地桌面应用程序，需要对用户进行身份验证。对于这种情况，我们使用推荐的混合流。

据我所知，我们将使用嵌入式web浏览器将用户引导到身份服务器上的登录页面。用户成功登录，服务器将web浏览器重定向到已注册的重定向url。会通知桌面应用程序此重定向(类似于OnLoadFinished事件)，并解析包含一些信息(包括授权代码)的新url。然后，桌面应用程序将此授权代码交换为访问令牌/刷新令牌。

考虑到这个过程，如果恶意用户知道重定向url和客户端id是什么(假设这个用户是前雇员)，他们是否完全有可能创建一个非常类似的应用程序，比如我们的桌面应用程序来欺骗用户使用该恶意应用程序？因为他们知道重定向url和客户端id，所以他们可以模拟上述过程并获得访问/刷新令牌。

我是否正确地理解了这一点，还是我错过了什么？