Drei zusammenhängende Korrekturen, die den OIDC-Flow auf realen Geräten
durchgehen lassen:
1. taskAffinity="" raus aus MainActivity — sonst landet die
RedirectUriReceiverActivity beim Rücksprung aus Samsung Internet
Custom Tabs (FLAG_ACTIVITY_NEW_TASK) in einem zweiten Task und
zweitem App-Prozess, AppAuth findet seinen in-memory PKCE-State
nicht und meldet 'No stored state - unable to handle response'.
2. network_security_config.xml: base-config cleartextTrafficPermitted
statt einzelner localhost/10.0.2.2-Domains. Notwendig für Tests
gegen die LAN-IP des Dev-Macs (z.B. 192.168.x.x); AndroidConfig kann
keine IP-Wildcards. Klar als Dev-only markiert.
3. promptValues=['login'] auf der AuthorizationTokenRequest — verhindert
den Instant-SSO-Cookie-Redirect-Race, bei dem Chrome Custom Tabs
schliesst, bevor der Redirect-Intent ankommt; AppAuth wuerde sonst
'User cancelled flow' melden, obwohl der Nutzer nicht abgebrochen
hat. UX-mässig auch gewollt: jeder Login frisch (Account-Wechsel
am gleichen Geraet ist denkbar), Restore laeuft über den Refresh-
Token aus der Secure Storage.
cb22fff407