Реальный вопрос в том, что злоумышленник может получить от кражи ...
Вы должны сделать все возможное, чтобы защитить секреты, но в конце концов, высоко мотивированный хакер всегда может добраться до него в установленном приложении.,Так что это значение секрета в сравнении с трудностью извлечения.
Значение секрета клиента олицетворяет собой приложение.Это не дает никакого доступа к пользовательским данным.Однако, поскольку Twitter поддерживает автоматическую выдачу учетных данных ранее одобренным приложениям (их вход с помощью потока Twitter), злоумышленник может создать веб-приложение с вашими секретными данными и украсть пользовательские данные, используя скрытое перенаправление.
Проблема с реализацией Twitter заключается в том, что они не спрашивают разработчика о характере приложения.Если бы они это сделали, они бы не выдавали вам секрет с самого начала и заблокировали бы любого, кто создает веб-приложение, используя ваши учетные данные клиента и крадет данные у пользователей, которые уже одобрили его.
Один из вариантов - обфусцированиеслабый.Перемещение секрета на веб-сервер, действующий в качестве прокси-сервера API, - это еще один пример, но это просто перемещает проблему в другое место, поскольку теперь ваше приложение должно проходить аутентификацию на прокси-сервере.Однако этот шаблон может быть достаточно безопасным, если вам требуется, чтобы пользователи заходили на ваш сайт (который может использовать для просмотра через веб-сайт Twitter).Таким образом, кому-то, пытающемуся злоупотребить вашим прокси, нужно, чтобы его пользователи открывали учетные записи в вашем сервисе, что не очень привлекательно.
Короче, продолжайте и запутывайте его.Это не больно.Рассмотрите возможность использования шаблона прокси тоже.А может быть, пусть Twitter узнает, что их политики безопасности "не велики".