OAuth2使用REST api流向SPA

Question

我正在构建一个单页应用程序，它将与授权服务器（在我的案例中为GitLab）和两个资源服务器（GitLab和我自己的REST api）进行交互。我自己的REST api也将代表用户与GitLab进行交互。

现在我的问题是：是否：

• 使用隐式授权，这将导致用户具有access_token，然后可以将其转发到我们的REST API，以便SPA和REST服务器都可以代表资源提供者向资源提供者发出请求。用户
• 使用授权代码授权，我们的REST api将交换access_token的代码并将其返回给用户
• 同时使用（REST服务器的授权代码授予，SPA的隐含授权）