Безопасность API запросов с client-secret на Laravel

Всем привет. Делаю API на Laravel 5.5 с использованием Passport. API нужен для последующего обращения с клиентских приложений, находящихся на других серверах, т.е. общение будет ТОЛЬКО через API.

При выполнении passport:install создались клиенты для получения доступа. Вопрос в безопасности. Правильно ли я понимаю, что для предоставления токена пользователю, мне нужно сделать запрос со следующим телом:

let data = {
   grant_type: 'password',
   client_id: 2,
   client_secret: 'my_client_id_secret_from_database', // Laravel Password Grant Client
   email: 'abc@def.com', //или любое другое поле, которое нужно для авторизации
   password: 'pass',
   scope: '*',
};

Если да, то получается, что человек с клиентской стороны может спокойно взять для использования данные client_id и client_secret, с которыми в последствии он сможет делать все, что только захочет? Если да, то как это работает, как сделать, чтобы была возможность посылать запросы только с тех приложений, с которых я намерен их получать? (Vue.js приложение на другом сервере и мобильное приложение)?

UPD: понял, что это делается через неявное предоставление токена. Есть ли какие-либо примеры создания рабочего API на Laravel для своих приложений?