Я бы только добавил комментарий к этому ответу , но у меня недостаточно высокая репутация.
Меня смущает этот комментарий в принятом ответе:
OIDC основан на REST - браузер не требуется.
Я предполагаю (возможно, неправильно), что мы говорим о типе предоставления кода авторизации. Как мобильное приложение получает код авторизации, если не в результате ввода пользователем своего имени пользователя и пароля в форму HTML, предоставленную OP (провайдер OpenID). Если пользователь был ранее аутентифицирован, OP узнал бы об этом, извлекая cookie-файл сеанса SSO, хранящийся в кэше cookie браузера. Таким образом, мне кажется, что все взаимодействия с ОП не могут быть завершены без использования браузера.
IETF (Internet Engineering Task Force) RFC 8252 предложение описывает этот шаг следующим образом:
Приложения могут инициировать запрос авторизации в браузере, не покидая приложение пользователем, через класс «SFSafariViewController» или его преемника «SFAuthenticationSession», которые реализуют шаблон вкладки браузера в приложении.