たとえば、Google サービスにアクセスするインストール済みアプリケーション (デスクトップ アプリケーションと Android アプリケーション) を実装しているとします。ユーザーが何度もログインする必要がないようにするために、そのユーザーのローカル デバイスに保存することにしましたrequestToken
。accessToken
http://blog.doityourselfandroid.com/2011/08/06/oauth-2-0-flow-android/のようないくつかのチュートリアルを行った後、これがほとんどの人がしていることであることがわかりました。
しかし、私の懸念は、そうすることは安全ですか?ハッカーがユーザーのローカル デバイスから保存requestToken
されたファイルを取得した場合はどうなりますか? accessToken
セキュリティが侵害されますか? ハッカーは本物のユーザーになりすますことができますか?
アプリケーションがオープンソースになることに注意してください。したがって、誰でも特定の Google API にclientID
アクセスできます。clientSecret