К сожалению, из-за нынешнего «современного уровня» нет способа надежно защитить эти учетные данные, по словам сотрудника Microsoft Курта Хагенлокера:
Невозможно защитить секрет на чьем-либо рабочем столе , Вот почему некоторые поставщики OAuth (например, AAD) поддерживают режим «родного приложения», в котором есть идентификатор клиента, но не секрет. Самым последним событием в этой области является PKCE, и мы собираемся получить образец кода для этого позднее в этом году.
В принципе, секрет может быть предоставлен отдельно для служебного использования - и я бы хотел чтобы увидеть, как мы это сделаем когда-нибудь - но для этого нужно создать много инфраструктуры.
Я предложил зашифровать сам модуль, и Курт ответил, что это тоже будет неэффективно:
Все, что нужно сделать, - запустить Fiddler, и он сможет точно узнать, какой секрет отправляется на конечную точку токена.
Полный разговор:
https://github.com/microsoft/DataConnectors/issues/298