Ao usar o protocolo OAuth, você precisa de uma sequência secreta obtida do serviço ao qual deseja delegar. Se você estiver fazendo isso em um aplicativo Web, poderá simplesmente armazenar o segredo em sua base de dados ou no sistema de arquivos, mas qual é a melhor maneira de lidar com isso em um aplicativo móvel (ou um aplicativo de desktop)?
O armazenamento da string no aplicativo obviamente não é bom, pois alguém pode encontrá-la e abusá-la facilmente.
Outra abordagem seria armazená-lo em seu servidor e fazer com que o aplicativo o buscasse a cada corrida, nunca armazenando-o no telefone. Isso é quase tão ruim, porque você precisa incluir o URL no aplicativo.
A única solução viável que eu posso encontrar é primeiro obter o token de acesso normalmente (de preferência usando uma visualização da Web dentro do aplicativo) e, em seguida, encaminhar toda a comunicação adicional através do nosso servidor, o que acrescentaria o segredo aos dados solicitados e comunicaria com o provedor. Por outro lado, sou um noob de segurança, então eu realmente gostaria de ouvir as opiniões de algumas pessoas com conhecimento sobre isso. Não me parece que a maioria dos aplicativos atenda a esses limites para garantir a segurança (por exemplo, o Facebook Connect parece assumir que você coloca o segredo em uma sequência correta no seu aplicativo).
Outra coisa: não acredito que o segredo esteja envolvido na solicitação inicial do token de acesso, para que isso possa ser feito sem envolver nosso próprio servidor. Estou correcto?