Я смотрю на щебет реализации OAuth предлагает здесь:OAuth - встраивание секретности клиента в ваше приложение?
https://dev.twitter.com/docs/auth/oauth
и OAuth библиотеки указателю:
http://code.google.com/p/oauth-signpost/
они оба говорят о использовании секрет клиента при протекании OAuth, что означает для мое клиентское приложение, мне нужно будет хранить секрет в самом приложении. Это, вероятно, опасно, поскольку кто-то может захватить секрет из моего приложения. Существуют ли какие-либо методы хранения секретности в моем приложении? Неужели я неправильно понимаю поток oauth?
Благодаря
Не могли бы вы рассказать об этом? Я быстро просмотрел проект - http://tools.ietf.org/html/draft-ietf-oauth-v2-22#section-9 - означает ли это, что родные приложения не используют «секрет клиента», когда используя OAuth? Не могли бы вы описать требуемый поток? –
Родные приложения не должны использовать секрет клиента, поскольку он не имеет реальной ценности и создает фальшивое чувство безопасности. –