В чем разница между токенами доступа и кодами авторизации в OAuth 2

Я использую PHP-библиотеку OAuth 2.0для разработки сервера OAuth 2.0 на PHP.

В примере с этой библиотекой я вижу 3 таблицы: auth_codes, clientи tokens.

Насколько мне известно, для доступа к данным используются токены, а для получения токенов — коды авторизации.

Но проблема в том, что если я это сделаю

...authorize.php?client_id=0123456789ab&response_type=token&state=test_state

, я смогу получить токен, даже не получая код доступа.

Как это возможно? Это правильная реализация?