Чтобы использовать API Google Drive, я должен играть с аутентификацией с использованием OAuth2.0. И у меня есть несколько вопросов по этому поводу.

Идентификатор клиента и секрет клиента используются для определения моего приложения. Но они должны быть жестко закодированы, если это клиентское приложение. Таким образом, каждый может декомпилировать мое приложение и извлечь его из исходного кода.Означает ли это, что плохое приложение может претендовать на то, чтобы быть хорошим приложением, используя хорошее приложение?идентификатор клиента и секрет? Таким образом, пользователь будет показывать экран с запросом о предоставлении разрешения на хорошее приложение, даже если оно на самом деле запрашивается плохим приложением? Если да, что мне делать? Или на самом деле мне не стоит об этом беспокоиться?

В мобильном приложении мы можем встроить веб-просмотр в наше приложение. И это легко извлечь поле пароля в веб-представлении, потому что приложение, которое запрашивает разрешение на самом деле "браузер».Итак, OAuth в мобильном приложении не имеет такого преимущества, что клиентское приложение не имеет доступа к учетным данным пользователя поставщика услуг?