Я добавляю API для добавления мобильного приложения в мое существующее веб-приложение grails. Поскольку мне сложно интегрировать поставщика OAuth2 в мое приложение, я собираюсь реализовать свой собственный механизм HMAC.REST Проверка подлинности Api - обмен частным ключом
HMAC использует секретный ключ, и я хочу, чтобы каждый пользователь приложения имел свой секретный ключ. Теперь вот как я могу перенести секрет в безопасном режиме между API и мобильным устройством изначально.
Конечно, все сообщения будут проходить через t SSL. Но безопасно ли отправлять секрет клиента с сервера на мобильный клиент при первом подключении через провод?
Или я должен использовать один секрет и хранить его с мобильным клиентом, который может быть легко реконструирован?
Или, может быть, есть другие и лучшие способы сделать это?