我使用Android(Oauth2)构建了Django REST个django-rest-social-auth后端应用。一切正常,但我想知道我应该在哪里/如何存储client_secret(在/ admin中创建的OAuth Django应用程序)密钥,用于第一次调用转换user_token(或用户名/密码)如果由凭证记录)到access_token将用于所有下一次呼叫。
事实上,我已经读过它无法存储在我的Android应用中,因为它可以被反编译。因此,我将其存储在我的服务器上,并根据传入的client_secret检索正确的client_id。但我不知道这是否是处理它的经典方式。