И это всё МОЁ

Вопрос:
если реализовать Authorization Code Grant Flow [1] + PKCE [2],
таким образом защитившись от перехвата authorization code, в публичном SPA-приложении на JS и при этом хранить code_verifier только в памяти, в локальной переменной в некоторой функции, не в сессии, будет ли такой клиент безопасен ? ведь браузерные расширения могут считывать содержимое ответа с токеном доступа [3], а значит в теории утечка токена возможна ?

1. https://tools.ietf.org/html/draft-ietf-oauth-security-topics-13#section-3.1.1

2. https://tools.ietf.org/html/rfc7636

3. https://blog.chromium.org/2019/06/web-request-and-declarative-net-request.html








 ,