Sto sviluppando un'app nativa che ha bisogno di accedere a risorse protette usando OAuth 2. Esiste un requisito aziendale in modo che un utente debba inserire le sue credenziali manualmente il più raramente possibile e il modo migliore per ottenerlo è usare un'autenticazione flusso con un token di aggiornamento. Il recupero dei token di aggiornamento richiede un segreto del client che, per la progettazione di OAuth, non deve essere archiviato in un'app nativa.
So che ci sono flussi che non utilizzano il segreto del cliente, ad es. con clienti pubblici, ma non ero in grado di implementarli all'interno dello stack tecnologico che utilizzo.
La mia domanda è: quanto è grave continuare a utilizzare il client secret in un'app se il token di aggiornamento è ben protetto e c'è una piccola possibilità che venga trapelato? Per chi attacca sapere che il segreto non raggiunge molto in questo caso, vero?