Я правильно понимаю, что client_secret который я помещу в .env и буду использовать через process.env — секретным НЕ будет?
Т.е. что CLIENT_SECRET который я буду использовать в приложении через process.env.CLIENT_SECRET в любом случае окажется в сборке и будет доступен каждому, да?
А как тогда быть?
Как хранить данные для аутентификации через OAuth?
Да будет виден. На тему как быть статей и видеоуроков вагон и маленькая тележка. Вкратце: бэкенд генерирует ключи, сессии и другие способы защиты приложения, и при каждом запросе или только при нужных проверяет ключи.
