我是stackoverflow的常客，但这是我的第一个问题。我正在使用OAuth2规范开发授权服务器。我只是被困在如何在使用密码流的同时确保第一方客户端的真实性上。我阅读了很多论坛，这就是我得到的:Javascript单页客户端AlexBilbie的这篇博文，他指出，为了避免client_secret问题，我们应该:It’ssimple;proxyallofyourAPIcallsviaathinserversidecomponent.Thiscomponent(let’sjustcallitaproxyfromhereon)willauthenticateajaxrequestsfr