¿Por qué hay un flujo de "Código de autorización" en OAuth2 cuando el flujo "Implícito" funciona tan bien?

Con el flujo "Implícito" el cliente (probablemente un navegador) obtendrá un token de acceso, después de que el Propietario del Recurso (es decir, el usuario) haya dado acceso.

Con el flujo de "Código de Autorización", sin embargo, el cliente (generalmente un servidor web) solo obtiene un código de autorización después de que el Propietario del Recurso (es decir, el usuario) haya dado acceso. Con ese código de autorización, el cliente realiza otra llamada a la API pasando client_id y client_secret junto con el código de autorización para obtener el token de acceso. Todo bien descrito aquí.

Ambos flujos tienen exactamente el mismo resultado: un token de acceso. Sin embargo, el flujo "Implícito" es mucho más simple.

La pregunta: ¿Por qué molestarse con el flujo de "Código de autorización", cuando el flujo "Implícito" parece estar bien? ¿Por qué no usar también "Implicit" para el servidor web?

Es más trabajo tanto para el proveedor como para el cliente.