Na fase de troca do código de autorização pelo token de acesso, o servidor de autorização deve realizar as seguintes validações: verificar se o código de autorização (`code`) e o `code_verifier` recebidos são válidos, e então confirmar se o `code_challenge` (armazenado previamente) foi corretamente derivado desse `code_verifier`.

Isso está em conformidade com a RFC 7636, que especifica que o servidor deve calcular o desafio a partir do verificador recebido e compará-lo com o desafio armazenado. Caso os valores coincidam, a troca prossegue; caso contrário, um erro `invalid_grant` é retornado.

Portanto, a alternativa que descreve corretamente essas verificações é:

**B) o code e o verifier recebidos são válidos e se o challenge foi derivado do respectivo verifier**

1-> Cria o code_verifier: Senha123@

3-> code_challenge embaralha

4 -> App envia o code_challenge pro servidor

5 -> Server devolve o authorization_code

6 -> App envia o code_verifier para o servidor para receber o token

7 -> Servidor faz hash do code_verifier

8 -> Compara se o hash de agora é igual ao code_challenge

9 -> Se for igual libera o token