OAuth プロトコルによる認証をサポートする Twitter API を使用する (アマチュア) アプリケーションを構築しています。
OAuth サインイン プロセスの一部として、各アプリケーションにコンシューマー キーとコンシューマー シークレット (両方の文字列) が割り当てられます。これらは、Twitter サーバーとの通信用の署名を生成するために使用されます。
Twitter 開発者ガイドでは、「「消費者の秘密」を秘密にしておくべきであると明示的に述べています。このキーは、アプリケーションで人間が判読できるものであってはなりません。悪意のある個人が資格情報を取得すると、アプリになりすます可能性があるため、これは明らかに重要です。
ただし、これをどのように達成できるかわかりません。アプリケーションが文字列を使用するには、何らかの方法で (アプリに直接コーディングするか、バンドルされたデータベースに保存するか、リンクされた Web サービスを介してアクセスできるようにするかのいずれかで) アプリからアクセスできる必要があります。ユーザーがアクセスできる必要があります。分割、文字シフトなどによって難読化することはできますが、元に戻すことができない方法ではありません (私が見る限り)。
このSO 回答は、これが問題であるという私の疑いを裏付けるものです。2009 年 12 月に投稿されてから何か進展があったかどうか疑問に思っていました。