首先谢谢波波老师的回复，推荐的文章及项目对我很有帮助。其实我和同事也讨论在zuul网关上实现OAuth的Client的功能，虽然我心里还是角色SPA是真正的Client，但可以把zuul网关理解为Client的外延，和你提供的oauth-proxy做法很类似。
oauth-proxy项目我大概看了，它是在浏览器与oauth-proxy之间维持cookie-session，使用oauth-proxy作为OAuth Client获取令牌，获取令牌后，可以不下发给浏览器，cookie与令牌映射关系（有状态），或者加密后放到cookie里下发给浏览器（无状态）。但我有点不明白无状态下，为啥还要加密令牌？？我理解这两种下发的形式都是利用了浏览器对cookie的一些安全机制，因为整个oauth-proxy是解决了client凭证存放在哪儿的问题，已经获取token也存放在oauth-proxy，但对于浏览器与oauth-proxy之间，cookie中的内容加密可以放篡改，而不能放窃取，就能JWT的签名一样，而放窃取我感觉是更难也更重要的。
你推荐的文章我也大概看了（全英文还是挺费力啊），给我感觉OAuth2协议只定义了它4个角色之间怎么安全的获取令牌，校验令牌，但对于现在常用的user-agent（浏览器），OAuth2涉及的不多，或者说它说了也不算，比如google就不想支持token绑定。而文章中给出的一些其它方案：（1）same-site cookie，我感觉对于我们公司这种域名不在Public Suffix List里的应该用不了吧？？（2）PKCE，实现起来复杂，而且好像只在获取token环境增加了code exchange，而校验token还是无法校验是不是黑客在使用。（3）我也简单看了pop令牌，也是用于OAuth Client与授权服务器之间证明是真正Client请求而不是黑客的，和Browser感觉没什么关系。
其实我们公司就是想做前后端分离的应用，可能内部用，也可能公网用，但越看越觉得2012年发布OAuth2设计的Client是一个web server，如果场景是开发平台供第三方授权访问API很合适，但是对于基于浏览器的应用，OAuth2一开始设计的比较简单，对于Browser与OAuth Client之间比较少，后来做扩展的时候也需要各浏览器厂商的支持，目前也没完全成型，所以从浏览器到OAuth Client的安全，还是基于原来的浏览器对cookie-session的安全机制，用token存localstorage可能还没有cookie安全。这就让我产生了一个疑惑，基于浏览器的有必要用OAuth2吗？？传统的user/passwd+https+SSO的模式不也一样吗，都要依靠cookie的存储和https的传输时安全。从浏览器到zuul网关后，基本就是偏内网环境了，zuul作为Client和授权服务器之间都是内网，走什么授权模式或者传统模式都差不多了。
不知道我的理解对不对，请波波老师指点。