Как работает OAuth2 PKCE flow для мобильных приложений?

PKCE (Proof Key for Code Exchange) — расширение OAuth2 для публичных клиентов (мобильных приложений) где нельзя безопасно хранить client_secret. Флоу: 1) Клиент генерирует code_verifier (случайная строка). 2) Вычисляет code_challenge = SHA256(code_verifier). 3) Отправляет code_challenge при запросе авторизации. 4) При обмене code на token отправляет code_verifier. 5) Сервер проверяет SHA256(code_verifier) == code_challenge. Без code_verifier нельзя использовать перехваченный authorization code.