Para usar Google Drive Api, tengo que jugar con la autenticación usando OAuth2.0. Y tengo algunas preguntas sobre esto.

La identificación del cliente y el secreto del cliente se utilizan para identificar cuál es mi aplicación. Pero deben estar codificados si se trata de una aplicación cliente. Por lo tanto, todos pueden descompilar mi aplicación y extraerla del código fuente.¿Significa que una aplicación incorrecta puede pretender ser una buena aplicación utilizando la identificación y el secreto del cliente de la aplicación correcta? Entonces, ¿el usuario estaría mostrando una pantalla que pide que se le otorgue permiso a una buena aplicación a pesar de que una aplicación incorrecta la solicite? Si es así, ¿qué debo hacer? O en realidad no debería preocuparme por esto?

En la aplicación móvil, podemos incrustar una vista web a nuestra aplicación. Y es fácil extraer el campo de contraseña en la vista web porque la aplicación que solicita permiso es en realidad un "navegador".Entonces, ¿OAuth en la aplicación móvil no tiene el beneficio de que la aplicación cliente no tenga acceso a la credencial de usuario del proveedor de servicios?