口是保护角度应用APIS的好方法吗?

我已经阅读了几天的oauth2文档,它的确变得令人困惑。

我有一个配置为ouath2的spring-boot应用程序。我想编写一个Angular应用程序来访问那些APIS。 angular应用程序中有一个登录页面,用户必须输入用户名和密码才能登录(获取访问令牌)。将来,还将开发一个android和IOS来访问这些api。令人困惑的是,哪种授权类型将是这种方法中最好的?

我的发现是资源所有者密码最适合此类客户端,但是我应该在哪里将客户端凭据保存在角度应用程序中,因为将客户端凭据放在客户端应用程序中并不安全,而且我发现无法注册ouath2中没有客户端秘密的客户端。

*我想通过我的服务器对用户进行身份验证。

提前致谢