По мне так ни какого клиента не надо. Я не знаком с OAuth2 но предполагаю что пользователь при каждом входе получает разный токен и он гдето сохраняется. То есть система такая.
Пользователь логинится.
Сервер проверяет имя и пароль и если они валидны, генерит ключ или токен как угодно
Клиент получает данные пользователя. Типа объект с айди, именем, ключем и всем остальным и сохраняем в какмом-нибудь storage.
Теперь, при любом запросе к API мы передаем айди пользователя и токен.
На сервере проверям, этот ли токен у этого пользователя, и если да то проверяем есть ли у него права получить данные этого запроса.
В этой схеме, естественно каки-то запросы к API на сервер, проходят даже если нет токена и идентификатора пользователя. Например запрос на авторизацию, или на получение публичной информации которую видят все.
