我认为答案是“不!!”谷歌似乎也同意这一点。 “已安装的应用程序分发到各个设备,并且假设这些应用程序无法保守秘密”来自来自谷歌的文档。不幸的是,他们仍然需要客户端令牌来执行任何操作。是否假设即使暴露也不会成为问题?
使用桌面应用程序进行身份验证需要 oauth 客户端密钥。
你一定在某个地方有它
我已经看到了几种尝试确保其安全的解决方案,但没有一个是完美的
首先将其包含在您的应用程序中,以便它将在您的应用程序中进行编译。
两个将其保存在服务器上的加密 API 端点上,并要求应用程序请求它。
无论您做什么,都不要以明文形式将其存储在用户计算机上的目录中