Eu tenho experimentado com jhipster. Eu configurei meu aplicativo para funcionar com oauth2. Para esse efeito, tenho um segredo do cliente no meu application.yml

De acordo com vários artigos que encontrei sobre esse tópico, o segredo do cliente deve ser mantido em segredo o tempo todo. Por exemplo, verifiquehttps://aaronparecki.com/articles/2012/07/29/1/oauth2-simplified

O segredo do cliente deve ser mantido em sigilo. Se um aplicativo implantado não puder manter o segredo confidencial, como Javascript ou aplicativos nativos, o segredo não será usado.

Notei, no entanto, que o auth.oauth2.service.js gerado contém o segredo em texto simples:

        return {
            login: function(credentials) {
                var data = "username=" + credentials.username + "&password="
                    + credentials.password + "&grant_type=password&scope=read%20write&" +
                    "client_secret=mySecretOAuthSecret&client_id=myapp";
                return $http.post('oauth/token', data, {
                    headers: {
                        "Content-Type": "application/x-www-form-urlencoded",
                        "Accept": "application/json",
                        "Authorization": "Basic " + Base64.encode("myapp" + ':' + "mySecretOAuthSecret")
                    }
                }).success(function (response) {
                    var expiredAt = new Date();
                    expiredAt.setSeconds(expiredAt.getSeconds() + response.expires_in);
                    response.expires_at = expiredAt.getTime();
                    localStorageService.set('token', response);
                    return response;
                });
            },

Entendo que será um pouco mais difícil encontrar o javascript minificado, mas quem procura por 'client_secret' será recompensado rapidamente.

Estou esquecendo de algo? Ou a implementação do jHipster oauth é insegura?

Obrigado Andy