Поскольку секретный ключ клиента (клиент является произвольным сторонним приложением веб-браузера, конечный пользователь отсутствует, само веб-приложение является владельцем ресурса), он должен быть опубликован c, поскольку он находится в js код, я не знаю, являются ли домен приложения стороннего производителя (1) и publi c client secret (2) достаточными учетными данными для выдачи токена доступа ... или возможно ли создать что-то вроде того, что я описал, Похоже, это способ Facebook js -SDK и API работает.
Ну, я полагаю, что секрет клиента должен оставаться секретным. Я не знаю, является ли клиентский домен и какой-то ключ publi c правильным способом для аутентификации клиента.
Я исследовал и прочитал основные c спецификации OAuth и OpenID, но я думаю, Мне нужна ориентация.