OAuth изясни?

От няколко дни разбирам протокола OAuth и един момент не може да ми попадне в главата:

Да предположим, че имам услуга с REST API и OAuth сървър. Създавам десктоп (или мобилно) приложение, регистрирам го с OAuth сървър и получавам app_id и app_secret, които генерира, които след това използвам, за да получа маркера. Да предположим, че моето приложение ще изпраща веднъж на минута дневник на работата до услугата (използвайки метода POST) и трябва да работи 24/7 без човешка намеса, което означава, че имам нужда от неограничен жетон. След това получавам жетон и започвам работа с услугата. В същото време, както разбирам, и app_id, и app_secret, и маркерът трябва да се съхраняват някъде. В случай на десктоп приложение, това е например конфигурационен файл или регистър на Windows. Съответно, тези данни могат да бъдат командвани и използвани за лоши цели, например, глупаво е да DDoS услугата ми с някакво приложение на трета страна.

Правилно ли мисля или някъде греша?

Загубата на app_secret е равна на загуба на парола от нещо.

Например, ако откраднете ключа ssh, можете също да получите достъп до сървъра. Тайната е нашият частен ключ.

Тези. ако app_id и app_secret са глупаво шифровани и зашити в кода на приложението и само маркерът се съхранява извън програмата, тогава това е малко по-сигурно?

Въпреки че отново тук е въпросът: по принцип за приложение на трета страна като цяло е достатъчно да знам маркера и да мога да изпращам заявки до услугата?

• Протоколи от разглеждане на заявления за участие в търг, в заявка за оферти, за участие в търг,
• Обяснения към TN VED 8517 - Телефонни устройства, включително телефонни устройства за клетъчни комуникационни мрежи
• Протоколи от медицински и педагогически срещи, Детска градина MBDOU от общоразвиващ тип No166
• HTTP протокол
• Пневматична система - Управление - Велика енциклопедия на нефт и газ, статия, страница 1

---