Отличный разбор, спасибо! Особенно запомнился момент с редиректами — их действительно часто мягко проверяют, и это можно подловить очень легко. Еще заметил, что PKCE вроде обязательный сейчас, но многие реализации так себе — либо не проверяют полностью, либо поддерживают plain, что убивает смысл. Вижу, что в продакшене все эти истории с разными версиями flow и легаси сильно усложняют безопасность, поэтому просто иметь OAuth — это еще не гарантия защиты.