我创建了一个桌面.NET C#应用程序,它通过官方.NET库和OAuth 2.0使用Google API(特别是Google Drive)。
根据官方示例,我使用GoogleWebAuthorizationBroker和client_secret.json文件,从我的项目的Google Developer Console下载。在文档中声明我应该将开发人员的秘密保密(这对我而言似乎合乎逻辑),但在以下示例中,它保存为普通文件,在构建期间将其复制到应用程序构建目录。因此,应用程序用户可以打开我的文件并抓住我的秘密。
问题:我应该将client_secret.json内容放在受保护的地方(比如可能只是在最天真的情况下对其值进行硬编码),或者我遗漏了某些内容并且没有普通文件在这种情况下不安全吗?