Для родного настольного приложения я использую поток кода авторизации с PKCE. В этом случае не рекомендуется использовать секрет клиента. Только через Client_ID сервер идентификации может проверить клиента. Думая о худшем случае, когда злоумышленник имеет одно удостоверение пользователя и знает идентификатор клиента, злоумышленник может создать вредоносное приложение и получить действительный токен доступа. URI перенаправления (loopback со случайным портом) не предотвратит атаку. (Например, Angular клиенты с точным Uri перенаправления предотвратили бы это.) Можно ли защитить такую атаку и гарантировать, что только наше приложение может получить токен доступа с сервера идентификации? Дело в направлении второго фактора / канала, который принадлежит нашему приложению.