だから私は何かを理解するのに苦労しています...
Oauth for Web Appsを実行する場合は、サイトをコールバックURLで登録し、一意のコンシューマーシークレットキーを取得します。ただし、Oauth for Web Appsトークンを取得したら、登録済みドメインからGoogleサーバーへのOauth呼び出しを生成する必要はありません。私はラップトップのローカルホストにあるApacheサーバーを介して実行されているスクリプトからキーとトークンを定期的に使用していますが、Googleは「登録済みドメインからこのリクエストを送信していない」とは決して言いません。データを送信するだけです。
さて、私が理解しているように、インストール済みアプリに対してOauthを実行する場合は、Googleから取得した秘密鍵の代わりに「匿名」を使用します。
私は、OAuth for Web Appsの認証方法を使用して、そのトークンを、秘密のコードが内部に埋め込まれているインストール済みアプリに渡すことを考えていました。心配なのは、悪意のある人がコードを発見する可能性があることです。しかし、もっと安全なのは...秘密のコードで機能させるのか、それともデフォルトで匿名にするのか?
代替案が「匿名」を秘密として使用しているときに「秘密」が発見された場合、本当に悪いことは何ですか?