Ipotizza che nell'header della pagina html che viene caricata post autenticazione viene inserito lo username del client appena autenticato... non mi sembra che in questo modo tu permetta a chiunque attraverso javascript di recuperare credenziali...? o no! Alla fine tu non recuperi nessuna credenziale se non semplicemente verificare, ad autenticazione avvenuta, il nome dello user appena autenticato (e solo lui mica chiunque)