Так что у меня проблемы с пониманием чего-то ...
Если вы используете Oauth для веб-приложений, вы регистрируете свой сайт с помощью URL-адреса обратного вызова и получаете уникальный секретный ключ потребителя. Но как только вы получили токен Oauth для веб-приложений, вам не нужно генерировать вызовы Oauth на сервер Google из зарегистрированного домена. Я регулярно использую свой ключ и токен из сценариев, запущенных через сервер apache на localhost на моем ноутбуке, и Google никогда не говорит: «Вы не отправляете этот запрос из зарегистрированного домена». Он просто отправляет мне данные.
Теперь, насколько я понимаю, если вы используете Oauth для установленных приложений, вы используете «анонимный» вместо секретного ключа, который вы получили от Google.
Я думал о том, чтобы просто использовать метод аутентификации OAuth for Web Apps, а затем передать этот токен в установленное приложение, в которое встроен мой секретный код. Беспокойство в том, что код может быть обнаружен плохими людьми. Но что безопаснее ... заставить их работать для секретного кода или разрешить им по умолчанию анонимный доступ?
Что на самом деле идет плохо, если «секрет» обнаруживается, когда альтернатива использует «анонимный» в качестве секрета?