OAuth 2.0 клиентский секрет для Electron

Question

Я использую OAuth 2.0 в Electron для использования API календаря Google и понимаю, что требуется client_secret.

Поиск вокруг я вижу два варианта:

1. жесткого кодирования/упаковки секрет внутри электронного приложения. Тем не менее, поскольку Electron Приложения действительно имеют исходный код, доступный в скомпилированном приложении, секрет все еще можно извлечь.
2. Использование прокси-сервера (возможно, размещенного мной) для получения самого URL-адреса OAuth и передачи его клиенту. Однако это, похоже, просто переместит проблему где-то еще, поскольку теперь я должен обеспечить проблемы безопасности, возникающие из-за проверки подлинности пользователя с помощью моего прокси-сервера.

Каковы наилучшие практики для этого на данный момент? Если возможно, я хочу, чтобы пользователь не прошел через процесс получения своего собственного client_secret

Answer 1

Это не ответит, как избежать связывания client_secret, но решает проблему.

Для тех, кто интересно, о том, как сделать это для Electron, то docs отметить, что при выборе Другие для типа это нормально, чтобы иметь секрет в общественном