Si tengo un móvil que está autorizado contra mi servidor usando PKCE, lo que le permite obtener un access_token y un refresh_token , ¿hasta qué punto debo confiar en que la aplicación puede usar el refresh_token a partir de ahora? para obtener el access_token ? ¿Seguramente están en juego las mismas preocupaciones que llevaron a la norma a inventar PKCE?
Lo pregunto porque mientras estaba jugando con una biblioteca Ruby para Auth2, descubrí que está bien hacerlo, lo que me dejó perplejo. ¿No debería este caso de uso particular simplemente prohibir refresh_tokens?
EDITAR: no estoy seguro de que esto resulte ser la respuesta, pero quizás asumamos que (dada una conexión TLS), el refresh_token se envió a la aplicación de forma segura y siempre que la aplicación esté hablando con el servidor directamente somos buenos?