前提・実現したいこと

独学でDjangoを勉強している者です。

Django RestFrameworkとJS、HTMLでGoogleソーシャルログインを実装したのですが、仕組みがいまいち分からずこの実装でよいのか分かりません。

具体的には、

• クライアントシークレットが丸見えだが、どうすればよいのか
• 以下のコードのようにAPIサーバーにアクセストークンを送ればよいのか（元々、認証コードを送るものだと思っていた）

などです。

該当のソースコード

HTML
<!DOCTYPE html>
<html lang="ja">
<head>
    <meta charset="utf-8">

    <script src="https://apis.google.com/js/platform.js" async defer></script>
    <meta name="google-signin-client_id" content="<クライアントID>">

    <title>サンプル</title>
</head>
<body>
    <div class="g-signin2" data-onsuccess="onSignIn"></div>


    <script src="{% static 'js/jquery-3.4.1.js' %}"></script>

    <script>
        function onSignIn(googleUser) {
            var access_token = googleUser.vc.access_token;

            fetch(`http://localhost:8000/auth/convert-token`, {
                method: 'POST',
                body: JSON.stringify({
                    token: access_token,
                    backend: 'google-oauth2',
                    grant_type: 'convert_token',
                    client_id: '<クライアントID>',
                    client_secret: '<クライアントシークレット>'
                }),
                headers: {
                    'Content-type':'application/json'
                },
            }).then(response => {
                return response.json();
            }).then(response => {
                console.log(response);
            })
        }
    </script>

</body>
</html>

DRFでdjango-rest-framework-social-oauth2のライブラリを使用しています。

試したこと

元々、認証コードを送るものだと思っていたのですが、上手くいかず、上記のようにアクセストークンを取得して、それを送ったら上手くいったので、この実装でいいのか心配です。
少なくともクライアントシークレットが丸見えが良くないのは分かります。
拙い文章で申し訳ありませんが、どうかよろしくお願いします。