Можно ли использовать OAuth2 одновременно для предоставления доступа к API извне и для собственного фронтенда?
Разрабатывается сервис, предоставляющий свой API наружу через OAuth2. Собственный интерфейс сервиса — одностраничное приложение, использующее тот же самый API. Я не хочу делать несколько видов токенов доступа, хочу использовать OAuth для всего. В принципе, я могу добавить поддержку resource owner password credentials grant, но это как бы ставит под сомнение смысл поддержки полного цикла авторизации. Остаётся ещё implicit grant, но по стандарту почему-то при его использовании я не имею права выдавать refresh token.