Quiero hacer un cliente de twitter de escritorio abierto y de cliente grueso. Estoy usando .NET como mi idioma y Twitterizer como mi contenedor OAuth / Twitter, y mi aplicación probablemente se lanzará como código abierto.
Para obtener un token OAuth, se requieren cuatro datos:
- Token de acceso (nombre de usuario de twitter)
- Secreto de acceso (contraseña de twitter)
- Clave del consumidor
- Secreto del consumidor
Las segundas dos piezas de información no deben compartirse, como una clave privada PGP. Sin embargo, debido a la forma en que está diseñado el flujo de autorización de OAuth, estos deben estar en la aplicación nativa. Incluso si la aplicación no fuera de código abierto y la clave / secreto del consumidor estuviera encriptada, un usuario razonablemente capacitado podría obtener acceso al par clave / secreto del consumidor.
Entonces mi pregunta es, ¿cómo puedo solucionar este problema? ¿Cuál es la estrategia adecuada para que un cliente de Twitter de escritorio proteja su clave y secreto de consumidor?