¿Es seguro mantener un token oAuth codificado en una aplicación creada exclusivamente para uso personal?

"Seguro" es un término relativo, y no es muy útil en un contexto de seguridad. Si es o no "seguro" depende de lo que protege y cómo lo usa. Si la aplicación controla el arsenal nuclear de los EE. UU. Y usted frecuentemente deja su teléfono desbloqueado en el mostrador de los baños públicos mientras visita Irán, diría que es terriblemente inseguro. Si solo acceda a su propio GitHub personal (que no contiene secretos de estado / comerciales o códigos de lanzamiento nuclear), entonces diría que es razonable.

Las credenciales de codificación en una aplicación que no compartes son tan seguras como su teléfono o computadora personal. Desde la perspectiva de la seguridad del teléfono, alguien que tenga acceso completo a su teléfono probablemente podrá recuperar la clave con la misma facilidad de la memoria del teléfono, ya sea que provenga de un flujo de oAuth o de un código fuente.

En el lado positivo, el hecho de que esté codificado de forma rígida significa que nadie puede atacar el flujo de oAuth, un riesgo de seguridad menos. Sin embargo, se almacena en texto plano en su computadora portátil (presumiblemente en el código fuente), un riesgo más para la seguridad. Una vez más, lo que es "mejor" depende de sus circunstancias y amenazas esperadas, pero para una persona típica que no está siendo directamente atacada por piratas informáticos expertos, probablemente no haya una gran diferencia.