Нужно ли использовать два токена-носителя OAuth/OpenIdConnect?

У нас есть несколько REST API, доступных для публичных приложений. Эти приложения регистрируются с помощью URL-адреса перенаправления (схема протокола приложения), и мы предоставляем разработчику client-secret, client_id.

В мобильном приложении пользователю не нужно сразу входить в систему, он может просматривать каталог продуктов, и ему будет предложено войти, только если он хочет что-то купить.

Мы внедрили стратегию PKCE, чтобы изначально заставить мобильное приложение получать токен доступа к приложению для использования наших общедоступных API.

Вопрос в том, когда пользователь должен войти в систему: как мы можем справиться с этим? мы должны снова использовать механизм PKCE? И тогда будет два токена: один для приложения и один для пользователя?