Para usar a API do Google Drive, eu tenho que jogar com a autenticação usando o OAuth2.0. E eu tenho algumas perguntas sobre isso.

O ID do cliente e o segredo do cliente são usados ​​para identificar o que é meu aplicativo. Mas eles devem ser codificados se for um aplicativo cliente. Assim, todos podem descompilar meu aplicativo e extraí-los do código-fonte.Isso significa que um aplicativo ruim pode fingir ser um bom aplicativo usando o id e o segredo do cliente do aplicativo? Então, o usuário mostraria uma tela pedindo permissão para um bom aplicativo, mesmo que ele seja realmente solicitado por um aplicativo ruim? Se sim, o que devo fazer? Ou, na verdade, eu não deveria me preocupar com isso?

No aplicativo para dispositivos móveis, podemos incorporar uma visualização da Web ao nosso aplicativo. E é fácil extrair o campo de senha na webview porque o aplicativo que solicita permissão é na verdade um "navegador".Portanto, o OAuth no aplicativo móvel não tem o benefício de que o aplicativo cliente não tenha acesso à credencial do usuário do provedor de serviços?