sekret klienta w OAuth 2.0

Aby korzystać z dysku api google, muszę grać z uwierzytelnianiem za pomocą OAuth2.0. I mam kilka pytań na ten temat.

Identyfikator klienta i tajny klient są używane do identyfikacji mojej aplikacji. Ale muszą być zakodowane na stałe, jeśli jest to aplikacja kliencka. Tak więc każdy może zdekompilować moją aplikację i wyodrębnić je z kodu źródłowego.Czy to oznacza, że ​​zła aplikacja może udawać, że jest dobrą aplikacją, używając identyfikatora klienta i tajemnicy dobrej aplikacji? Czyli użytkownik wyświetlałby ekran z prośbą o udzielenie zgody na dobrą aplikację, mimo że jest ona rzeczywiście pytana przez złą aplikację? Jeśli tak, co powinienem zrobić? A właściwie nie powinienem się tym martwić?

W aplikacji mobilnej możemy wbudować przeglądarkę internetową do naszej aplikacji. I łatwo jest wyodrębnić pole hasła w przeglądarce internetowej, ponieważ aplikacja, która prosi o pozwolenie, jest w rzeczywistości „przeglądarką”.Tak więc OAuth w aplikacji mobilnej nie ma takiej korzyści, że aplikacja kliencka nie ma dostępu do poświadczeń użytkownika usługodawcy?

questionAnswers(3)

yourAnswerToTheQuestion