Um Google Drive API zu verwenden, muss ich mit der Authentifizierung mit OAuth2.0 spielen. Und ich habe ein paar Fragen dazu.

Client-ID und Client-Geheimnis werden verwendet, um zu identifizieren, was meine App ist. Sie müssen jedoch fest codiert sein, wenn es sich um eine Clientanwendung handelt. So kann jeder meine App dekompilieren und aus dem Quellcode extrahieren.Bedeutet dies, dass eine schlechte App so tun kann, als ob sie eine gute App wäre, indem sie die Client-ID und das Geheimnis der guten App verwendet? Der Benutzer würde also einen Bildschirm anzeigen, der nach der Erteilung der Erlaubnis für eine gute App fragt, obwohl diese tatsächlich von einer schlechten App abgefragt wird. Wenn ja, was soll ich tun? Oder sollte ich mir darüber eigentlich keine Sorgen machen?

In mobilen Anwendungen können wir eine Webansicht in unsere App einbetten. Und es ist einfach, das Passwortfeld in der Webansicht zu extrahieren, da die App, die um Erlaubnis bittet, eigentlich ein "Browser" ist.OAuth in Mobilanwendungen bietet also nicht den Vorteil, dass Clientanwendungen nicht auf die Benutzeranmeldeinformationen des Dienstanbieters zugreifen können.