1
На данный момент у нас есть служба аутентификации с использованием Spring Security OAuth2, которая реализует следующие типы грантов: client_credentials и пароль.Проверка подлинности HTML5 SPA
Чтобы получить токен, клиенту (потенциально клиенту SPA-клиента HTML5) необходимо будет хранить client_id и секрет, чтобы получить токен-носитель либо с типом client_credentials, либо с типом предоставления пароля. В этом случае небезопасно, так как любой клиент_ид и секрет будут жить в источнике приложений HTML5, и любой может его получить.
Есть ли другой поток для этого, кроме client_credentials или пароля?