authentication - 为什么 Google 在重定向到此 URL 之前不会要求用户授予权限？

Question

我已经设置了一个 Google OAuth 客户端应用程序并获得了 client_ID 和密钥。请参阅下面的屏幕截图。

现在，当访问我的网站的访问者单击“使用 Google 登录”徽章时，他们会被发送到此 URL：

https://accounts.google.com/o/oauth2/auth?client_id=65271345115-ocrkffgo6irh2rji8knpnanfh8rf4s35.apps.googleusercontent.com&redirect_uri=https://www.webpagetest.org/testlog/1/&response_type=code&scope=profile+email

当用户点击那里时，我希望谷歌会弹出一个像这样的权限授予窗口。然而，这不会发生！当用户单击该链接时，它不会要求他们授予权限。它只是将它们发送到redirect_uri并在其末尾添加代码。

为什么？这不是安全漏洞吗？为什么在没有用户授予权限的情况下发布代码？