您所描述的内容似乎适合Web应用程序客户端类型：
Web应用程序
Web应用程序是在Web服务器上运行的机密客户端。资源所有者通过在资源所有者使用的设备上的用户代理中呈现的HTML用户界面访问客户端。客户端凭证以及颁发给客户端的任何访问令牌存储在Web服务器上，并且不向资源所有者公开或可由资源所有者访问。
RFC 6749-第2.1节
这将有助于缓解你目前的一些问题。
您的后端/API将服务于OAuth 2.0框架所描述的“客户端”角色（与我们所说的“客户端”相反，即在浏览器中运行的前端）。
因此，您可以执行授权代码流（PKCE不是必需的，但它只对有帮助）。然后，您的后端将从授权服务器接收令牌。
你的最后一段有点混乱。你确定访问令牌是 * 不是 * 一个JWT？虽然它们不一定必须如此，但OAuth 2.0几乎无处不在地采用了它。如果使用web应用程序设置，则后端将直接返回id令牌，它可以使用它来做出其他决策或使用userinfo端点。id令牌用于OAuth 2.0客户端或OIDC所称的依赖方。
OpenID Connect 1.0是OAuth 2.0 [RFC 6749]（Hardt，D.，“The OAuth 2.0 an Authorization Framework，”October 2012.）协议之上的简单身份层。它使客户端能够基于授权服务器执行的身份验证来验证最终用户的身份，以及以可互操作和类似REST的方式获得关于最终用户的基本简档信息。
OIDC-Sec1.0
使用Web应用程序类型进行设置还有助于保护令牌免受被盗或滥用，因为它们直接返回到后端，而不是更容易访问的前端。