PKCEについてよく理解できない点がある。PCKEの場合、client_secret を完全に省略することができるってことだけども、PKCEではたしかにコードを要求した主体と、トークンを取得しようとしている主体が同じであることは証明できるけども、けっきょくリダイレクト先のスキームを所有していないという点はなにも解決されておらず、クライアントの真正性についてはなにも証明されていないような? Aというアプリケーションのclient_idを使って、Bというまったく無関係なアプリがOAuthのフローを開始することができるような気がするけど、それはとくに問題にはならないのかな。