Недавно Google объявил, что они поддерживают OAUth для Gmail IMAP / SMTP. Я просмотрел их многочисленные документы, но все еще не понимаю, поддерживают ли они OAuth для установленных приложений.

1. Вэта документация они говорят:

Примечание. Несмотря на то что протокол OAuth поддерживает вариант использования настольного компьютера / установленного приложения, Google поддерживает OAuth только для веб-приложений.

Но у них также есть документ дляOAuth для установленных приложений.

2. Когда я читаюСпецификация OAuth указывает на них, он говорит (в разделе 11.7):

Во многих приложениях приложение Consumer будет находиться под контролем потенциально ненадежных сторон. Например, если Потребитель является свободно доступным настольным приложением, злоумышленник может загрузить копию для анализа. В таких случаях злоумышленники смогут восстановить Секретный ключ, используемый для аутентификации Потребителя у Поставщика услуг.

Также я думаю, что отказ от ответственности в пункте 1 вышеAPI данных Googleи, конечно, IMAP / SMTP не является их частью.

Я понимаю, что для установленных приложений у меня может быть такая настройка:

У меня есть небольшое веб-приложение, скажем, example.com для моего приложения. Это веб-приложение общается с Google, получает токен доступа.

Установленное приложение обращается к example.com только для получения токена доступа.

Установленное приложение затем общается с Google с токеном доступа.

Я сейчас в замешательстве. Это единственный способ? Кроме того, если я выполняю OAuth из настольного приложения, мы должны отправить ключ Consumer Secret вместе с приложением. Тогда мы не можем сохранить секретность ключа потребителя.