アバターwada

回答待ちの間に、Implicit Grantでの動作確認もできました。
が、セキュリティのことも考えると、パブリッククライアントは扱いづらいですね。
リスク評価しながら、どう対応するか考えたいと思います。

という流れで、
RFC 7636 (Proof Key for Code Exchange by OAuth Public Clients)
の実装を要望させていただきます。