Security 向用户提供后端可以'；看不见

假设浏览器端代码在网站上是可信的：前端是一个静态网站，它是开源的，加载的文件定期进行校验和。它不向服务器发送数据。对于此参数，只需假设加载的文件和脚本没有被资源服务器（服务器A）恶意更改

现在，我是另一个服务器（服务器B），我想给这个网站上的用户一个秘密，例如，OAuth访问令牌或JWT，这样用户就可以从服务器a的网站向服务器B发出请求。我希望资源服务器（服务器A）看不到该秘密

有没有一种方法可以在不向服务器显示的情况下，通过重定向或其他方式将秘密传递给用户

---

我可以设计服务器A和服务器B，唯一的安全要求是服务器A不能看到服务器B传递给服务器A网站用户的秘密。

也许可以创建浏览器插件来解决此类问题。

---

OAuth服务器可以将令牌与服务器端的会话id相关联（可能将其保存在db中）。当接收到带有oauth令牌的请求时，服务器将验证会话中是否存在相同的令牌。

请参阅OAuth2“隐式流”，其中授权服务器以哈希URL片段的形式直接将访问令牌传递给浏览器。哈希片段永远不会发送到后端服务器。然而，“隐式流”并不像“授权代码”流那样安全。

这正是我想要的。非常感谢。