处理iOS项目的使用者密钥和机密

作为初学者，我有几个问题想问。我正在从事一个iOS项目，该项目将使用Twitter和Instagram等API。我这样做主要是为了学习如何使用API，学习如何使用HTTP，学习一些库，如Alamofire等，同时更熟悉iOS中的Swift和UI构建

我的具体问题是关于我的消费者密钥（本例中来自Twitter）。在很多地方都有人问过类似的问题，我也对它们进行了研究，但我找不到确切的答案

显然，我不希望我的客户机机密和客户机密钥在我的代码和github页面中可见。我读过关于使用环境变量来实现这一点的文章，但是（尽管我在这方面没有太多经验）听起来这个秘密仍然是应用程序“附带”的，可以通过某种方式进行反编译

简言之，我应该如何处理钥匙和秘密？如果我设法将它安全地存储在某个地方，并从代码中访问它，那么某人是否仍然能够从发送给密钥提供商的HTTP请求中看到密钥和秘密（例如，在本例中是Twitter）

另外，还有一个小问题是关于我在Twitter（）上看到的回调URL规则，如果你在应用程序中使用URL方案，它们要求你使用如下内容：

myURLScheme CONSUMERKEY：//

消费者密钥与机密相比有多敏感？在safari视图中使用此选项将用户重定向回应用程序是否安全？是否会被应用程序的用户打断/窃取

我希望问题是清楚的。欢迎大家提出意见和建议