La specifica OAuth2 sembra considerare app native (Android e iOS) come "client pubblici", in definitiva significa che non possono utilizzare il flusso delle "credenziali del cliente". Detto questo, come si fa a richiedere un'autenticazione su endpoint che espongono risorse di proprietà del cliente (al contrario di quelle di proprietà dell'utente)?
Nel mio scenario sto sviluppando un'API REST che espone alcuni endpoint che non necessitano dell'autenticazione dell'utente ma che preferirei non lasciare "aperti" (cioè, mi piacerebbe richiedere qualche forma di autenticazione per prevenire gli abusi). Attualmente sto usando il flusso delle "credenziali del cliente" con una password vuota, ma ritengo che questa sia una violazione del protocollo. Sto facendo le cose sbagliate?