Почти каждый документ oauth 2 говорит, что лучший вариант для настройки аутентификации - это использовать неявный поток, если у вас есть приложение spa, потому что вы не можете хранить «секрет клиента» в безопасности на стороне клиента, так как он полностью работает в браузере, за исключением одной статьи, которую мне удалось найти - https://www.oauth.com/oauth2-servers/single-page-apps/#authorization, касающейся опции использования потока кода для неявной.
Но что, если кто-то использует поток кода без секрета клиента, сохраненного на стороне клиента, с необходимостью использования параметра "state" и предварительно зарегистрированного URL перенаправления на стороне сервера, так как нет способа проверить личность клиента без «секрета клиента», как описано в ссылке выше. Может быть, я что-то упускаю, но просто хочу знать, является ли такой подход более безопасным для использования, чем неявный поток, который обходит этап обмена кодом, или нет. Будем рады услышать любые предложения по этому вопросу!