Можете ли вы объяснить более конкретно, какова ваша общая цель? Обычно дизайн лучше, чем жесткое кодирование паролей и токенов аутентификации.
На самом деле вы ничего не можете сделать, чтобы защитить эти секреты, если распространяете свое приложение. Даже для шифрования ваших конфигурационных файлов приложению все еще нужен ключ для расшифровки, поэтому у вашего злоумышленника есть все, что ему нужно.
Однако вы можете выбрать другие варианты, например, запросить у пользователя собственный уникальный пароль и затем выполнить вызовы базы данных для веб-службы, а не распространять приложение, которое напрямую подключается к центральной базе данных. Но вам придется объяснить сценарий для лучшей рекомендации.