Я разрабатываю для Android и в настоящее время использую facebook-android-sdk для аутентификации. Из того, что я вижу, в этом коде не используется секрет приложения, и это здорово.

Теперь, когда Facebook собирается удалить разрешение offline_access, мне нужно расширить токен доступа. К сожалению, метод sdk exteAccessToken не является самостоятельным и требует установки официального приложения Facebook, что для меня неприемлемо.

Таким образом, я решил реализовать extensionAccessToken напрямую (аналогично реализации iphone sdk). Проблема в том, что HTTP-запрос на расширение токена доступа требует поля client_secret, что означает, что мне нужно поместить секрет приложения в сам код. Это не кажется безопасным для приложений Android / Java, которые могут быть легко изменены.

Есть ли альтернативы?