Как тестировать OAuth 2.0 флоу?

OAuth 2.0 — протокол авторизации через третью сторону. Тестируем Authorization Code Flow: 1) Запрос авторизации → правильный redirect на provider. 2) Callback с code → обмен на access_token. 3) access_token работает для API. 4) refresh_token работает для обновления. Негативные: invalid client_id → 400, неверный code → 400, повторное использование code → 400 (single-use). state parameter защита от CSRF — проверяем. Scope ограничения работают — нельзя читать чужие данные.