Секреты OAuth в мобильных приложениях
При использовании протокола OAuth вам нужна секретная строка, полученная от службы, которой вы хотите делегировать. Если вы делаете это в веб-приложении, вы можете просто сохранить секрет в своей базе данных или в файловой системе, но каков наилучший способ обработки его в мобильном приложении (или в этом случае в настольном приложении)?
Хранить строку в приложении явно нехорошо, так как кто-то может легко ее найти и злоупотребить.
Другой подход заключается в том, чтобы хранить его на вашем сервере, и приложение должно извлекать его при каждом запуске, никогда не сохраняя его на телефоне. Это почти так же плохо, потому что вы должны включить URL-адрес в приложении.
Единственное работоспособное решение, которое я могу придумать, - это сначала получить токен доступа в обычном режиме (желательно с использованием веб-представления внутри приложения), а затем направить всю дальнейшую связь через наш сервер, который добавит секрет к данным запроса и сообщит с провайдером. Потом опять яя нуб безопасности, так что яМне бы очень хотелось услышать некоторых знающих людей мнения по этому поводу. Это неМне кажется, что большинство приложений идут на все, чтобы гарантировать безопасность (например, Facebook Connect, похоже, предполагает, что вы поместили секрет в строку прямо в своем приложении).
Другое дело: я неЯ считаю, что секрет заключается в первоначальном запросе токена доступа, так что это можно сделать без участия нашего собственного сервера. Я прав?