authorization_code模式下client_secret应该前端处理还是后端处理

jojo老师您好,如题,看完3-5,老师说is-admin中的代码在实际开发中应该由前端提供.但是老师也强调敏感信息不应暴露在js中,所以在authorization_code这个模式下,重定向的地址应该由前端处理还是后端处理,如果前端处理的话,在下次带着code请求token时client_secret就暴露在了js中.如果后端处理的话,这些处理逻辑应该放在网关中吗,还是认证服务器