通过javascript访问OAuth2令牌的正确方法

我了解oauth的基本知识，以前在应用程序中使用过它，但从来没有像这样

我已经编写了一个基于oauth2的api，我正在编写一个javascript应用程序（在backbone.js中），我想用它访问api

我的问题是，我需要获取js应用程序的访问令牌。通常，我会请求一个类似于

example.com/oauth2/token？client_id=&client_secret=&….

如果我的客户机机密应该是机密的，那么我应该把它放在我的应用程序js中吗

通过javascript执行oauth2的正确方法是什么

---

我的用户/应用程序也是oauth的“源”，因此我不会进行任何第三方用户身份验证，因为他们已经登录到该站点。

我认为您应该从服务器获取访问令牌。这样，您的客户机机密在服务器上保持机密。换句话说，您的服务器将充当OAuth exchange的代理。

这就是我最初的想法。在服务器上有一个我可以请求的通用端点，并吐出一个新的访问令牌。现在，服务器就是用户，但这可能会改变。以下是facebook应用程序在javascript端处理它的方式：搜索“客户端流”。在我的情况下，没有用户登录对话框。我的应用程序是用户客户端。