所以我很难理解一些东西
如果您对Web Apps执行Oauth,则需要使用回调URL注册您的站点并获得唯一的消费者密钥。但是,一旦获得了针对Web Apps的Oauth令牌,就无需从注册域中生成对Google服务器的Oauth调用。我经常使用笔记本电脑上本地主机上通过apache服务器运行的脚本中的密钥和令牌,而Google从不说“您不是从注册域发送此请求”。它只是向我发送数据。
现在,据我了解,如果您对已安装的应用程序执行Oauth,则将使用“匿名”而不是从Google获得的密钥。
我一直在考虑仅使用OAuth for Web Apps auth方法,然后将该令牌传递给已安装的应用程序,该应用程序将我的秘密代码嵌入其内部。令人担心的是,恶意人员可能会发现该代码。但是,有什么更安全的方法呢……使它们适用于秘密代码或让它们默认为匿名?
如果当替代方案使用“匿名”作为秘密时发现“秘密”,那么真正的坏处是什么呢?