Что такое PKCE и какую конкретно атаку он предотвращает? Достаточно ли в 2026 использовать только client_secret вместо PKCE?