У нас есть несколько REST API, доступных для публичных приложений.Эти приложения регистрируются с помощью URL-адреса перенаправления (схема протокола приложения), и мы предоставляем разработчику client-secret, client_id.
В мобильном приложении пользователю не нужно сразу регистрироваться, он может просматриватьв каталоге продуктов и будет предложено войти в систему, только если он хочет что-то купить.
Мы реализовали стратегию PKCE, чтобы изначально заставить мобильное приложение получать маркер доступа к приложению для использования наших общедоступных API.
Вопрос в том, когда пользователь должен войти в систему: как мы можем справиться с этим?мы должны снова использовать механизм PKCE?И тогда будет два токена: один для приложения и один для пользователя?