Estoy creando una aplicación móvil que necesita comunicarse con un servicio web. Para asegurarme de que solo mi aplicación se esté comunicando con el servicio web, me autentico usando OAuth 2. El hecho de que necesito almacenar un ID de cliente + secreto en el binario de la aplicación es bastante desafortunado, pero para recuperar un token de acceso usando OAuth 2 Necesito enviar una identificación de cliente y un secreto de cliente al servidor. ¿No es muy fácil:
- Falsifique un certificado SSL y agréguelo a la lista de certificados de confianza de un dispositivo móvil
- Simule ser el servidor y supervise las solicitudes entrantes
La solicitud contendrá el ID de cliente y el secreto del cliente. Ahora los uso en alguna otra aplicación y me comunico con mi servidor.
¿Me falta o no entiendo algo? ¿Estaría mejor usando OAuth 1?