Вопрос: если реализовать Authorization Code Grant Flow [1] + PKCE [2], таким образом защитившись от перехвата authorization code, в публичном SPA-приложении на JS и при этом хранить code_verifier только в памяти, в локальной переменной в некоторой функции, не в сессии, будет ли такой клиент безопасен ? ведь браузерные расширения могут считывать содержимое ответа с токеном доступа [3], а значит в теории утечка токена возможна ?
1. https://tools.ietf.org/html/draft-ietf-oauth-security-topics-13#section-3.1.1
2. https://tools.ietf.org/html/rfc7636
3. https://blog.chromium.org/2019/06/web-request-and-declarative-net-request.html
