Что я пытаюсь сделать?
Я пытаюсь построить api для онлайн-бронирования, так что другое туристическое агентство может использовать этот api. Он выполняет функцию поиска полету, показывает результат поиска, заказывает рейс и онлайн-платеж. Поэтому для авторизации я планирую использовать oAuth. Когда пользователь посещает сайт туристического агентства, он может искать, забронировать рейс и оплатить. Здесь им не нужно проходить аутентификацию для поиска рейса и бронирования, но оплата производится с использованием третьей стороны. То, что я пытаюсь сделать, это то, что, когда пользователь использует api, им не нужна аутентификация, но мы должны разрешить, что пользователь находится на действующем сайте или нет, поэтому я использую oauth grant type client credentialsLaravel 5.1: как использовать oauth2-server-laravel?
Что я сделал?
Я пытаюсь использовать пакет laravel lucadegasperi/oauth2-server-laravel для oauth. Я успешно установил пакет в свой проект и выполнил конфигурацию в соответствии с информацией, приведенной здесь https://github.com/lucadegasperi/oauth2-server-laravel/wiki. Я проверил, чтобы получить токен доступа, используя расширение chrome postman. 
О чем я смущен?
Если я разделяю client_id и client_secret на стороне клиента, тогда любой другой пользователь может использовать этот идентификатор клиента и секрет клиента и использовать наш api. Как я могу создать маркер доступа после того, как пользователя представить кнопку поиска и использовал этот маркер для другого процесса, как показывает результат поиска, бронирование и т.д.
Итак, мой вопрос является
Пользуется ли я право тип гранта для авторизации? Если нет, то подходящий для этого будет ?
Как я могу использовать client_id и client_secret, чтобы мы могли надежно разрешить сайт?