В настоящее время мы работаем над дизайном для OAuth в нашей экосистеме. Идея, конечно, в том, что мобильное приложение будет аутентифицироваться на сервере OAuth, используя тип предоставления учетных данных пользователя, чтобы получить токен для дальнейшего рабочего процесса. С другой стороны, сервер защищенных ресурсов проверит информацию о токене на том же сервере OAuth и ответит соответствующим образом.
Все понятно, но есть одна проблема: если все заработало, мы должны доставить приложение с клиентским секретом, скомпилированным в коде. Это открывает большую дыру в безопасности. Есть ли способ избежать этого, или это даже проблема?
Спасибо,