Estoy desarrollando una aplicación nativa que necesita acceder a los recursos protegidos utilizando OAuth 2. Existe un requisito comercial para que un usuario tenga que ingresar sus credenciales manualmente lo menos posible y la mejor manera de lograrlo es usar una autenticación fluye con un token de actualización. La recuperación de tokens de actualización requiere un secreto de cliente que, por el diseño de OAuth, no debe almacenarse en una aplicación nativa.
Sé que hay flujos que no usan el secreto del cliente, por ejemplo. con clientes públicos, pero no pude implementarlos dentro de la pila de tecnología que uso.
Mi pregunta es: ¿qué tan malo es seguir usando el secreto del cliente en una aplicación si el token de actualización está bien asegurado y existe una pequeña posibilidad de que se filtre? Para el atacante que sabe que el secreto no logra mucho en este caso, ¿verdad?