Чтобы использовать google drive api, я должен играть с аутентификацией, используя OAuth2.0. И у меня есть несколько вопросов об этом.
-
Идентификатор клиента и секрет клиента используются для определения того, что такое мое приложение. Но они должны быть жестко закодированы, если это клиентское приложение. Таким образом, каждый может декомпилировать мое приложение и извлечь их из исходного кода. Означает ли это, что плохое приложение может притворяться хорошим приложением, используя хороший идентификатор клиента клиента и секрет?. Таким образом, пользователь будет показывать экран, запрашивающий разрешение на хорошее приложение, хотя это на самом деле спрошено плохое приложение? Если да, что мне делать? Или на самом деле я не должен беспокоиться об этом?
-
В мобильном приложении мы можем встроить webview в наше приложение. И легко извлечь поле пароля в webview, потому что приложение, запрашивающее разрешение, фактически является "браузером". Итак, OAuth в мобильном приложении не имеет того преимущества, что клиентское приложение не имеет доступа к учетным данным пользователя поставщика услуг?