Voglio creare un client twitter open-source, desktop client spesso. Mi capita di usare .NET come lingua e Twitterizer come wrapper OAuth / Twitter e la mia app verrà probabilmente rilasciata come open source.
Per ottenere un token OAuth, sono necessarie quattro informazioni:
- Token di accesso (nome utente twitter)
- Accesso segreto (password twitter)
- Chiave del consumatore
- Segreto del consumatore
Le seconde due informazioni non devono essere condivise, come una chiave privata PGP. Tuttavia, a causa della modalità di progettazione del flusso di autorizzazione OAuth, è necessario che siano presenti nell'app nativa. Anche se l'applicazione non era open source e la chiave / segreto del consumatore era crittografata, un utente abbastanza esperto poteva accedere alla coppia chiave / segreto del consumatore.
Quindi la mia domanda è: come aggirare questo problema? Qual è la strategia corretta per un client Twitter desktop per proteggere la sua chiave e il segreto del consumatore?