La mia domanda riguarda la protezione dell'API con l'autorizzazione Google OAuth2 e più client.
Ma voglio anche archiviare gli utenti nella mia memoria personale in modo da avere ulteriori informazioni su di loro. Quindi quando il nuovo utente preme Login with Google ho bisogno di dire al mio back-end di creare un nuovo utente nel mio sistema.
Sembra logico eseguire l'autenticazione del client e quindi inviare la richiesta al back-end per creare un nuovo utente.
Ma se avessi più client (Web, Android, iOS), dovrò duplicare la logica per questo ad ogni client, e inoltre dovrò condividere in qualche modo il client-id e il client-secret tra i client.
Quindi ho la sensazione che una parte di questa logica possa (e sia raccomandata) essere delegata al server. Quali sono le migliori pratiche per l'implementazione di questo scenario?