我目前正在开发一个使用Twitter的多平台应用程序,包括通过oAuth进行身份验证。
我查看了许多现有的应用程序,其中大多数似乎都将id和secret key嵌入到应用程序中。
这样做的风险是什么?是否只是因为有人可以“下载和检查”您的应用程序二进制文件以提取密钥 - 然后可以假装成您的应用程序(欺诈样式)?还是还存在其他风险?
除了风险之外,还有没有任何解决方法或解决方案?
我已经看到的一个解决方案是,一些人通过将所有Twitter调用路由通过自己的网站来解决 - 例如OAuth Twitter with only Consumer Key (not use Consumer Secret) on iPhone and android - 但这似乎相当缓慢和昂贵 - 如果可以避免,我宁愿不通过自己的Web服务路由所有调用(或者我误解了解决方案 - 只是通过网站进行认证吗?)