секрет клиента в OAuth 2.0
Чтобы использовать API Google Drive, я должен играть с аутентификацией с использованием OAuth2.0. И у меня есть несколько вопросов по этому поводу.
Идентификатор клиента и секрет клиента используются для определения моего приложения. Но они должны быть жестко закодированы, если это клиентское приложение. Таким образом, каждый может декомпилировать мое приложение и извлечь его из исходного кода.Означает ли это, что плохое приложение может выдать себя за хорошее приложение, используя идентификатор и секретный ключ хорошего приложения? Таким образом, пользователь будет показывать экран с запросом о предоставлении разрешения на хорошее приложение, даже если оно на самом деле запрашивается плохим приложением? Если да, что мне делать? Или на самом деле мне не стоит об этом беспокоиться?
В мобильном приложении мы можем встроить веб-просмотр в наше приложение. И легко извлечь поле пароля в веб-представлении, потому что приложение, запрашивающее разрешение, на самом деле является «браузером».Итак, OAuth в мобильном приложении не имеет такого преимущества, что клиентское приложение не имеет доступа к учетным данным пользователя поставщика услуг?