OAuth-防止共享使用者密钥/机密和访问令牌列表的安全性

我一直在努力建立一个服务提供商，并且看到，为了代表用户发出请求，似乎只需要消费者密钥/机密和令牌密钥/机密

是什么阻止消费者向我的服务提供商注册，让一些用户授权访问他们的一些数据，然后将访问令牌和消费者信息提供给第三方

这是否归结为一个信任问题，即我们必须信任我们的消费者，他们不会这样做？我们有没有办法通过任何监控来防止此类活动？我们想提供一个OAuth解决方案，但我们不想广泛担心恶意消费者

---

感谢您的帮助。

Twitter的OAuth实现涉及四个令牌

用户密钥

消费者密钥秘密

OAuth令牌

Oauth令牌秘密

对于web应用程序，最终用户永远无法访问令牌1和令牌2，因为它们从未传输到客户端。与twitterapi的通信是服务器对服务器的。在这种情况下，风险较小

在桌面应用程序中，“使用者”键通常以某种方式嵌入到二进制文件中。这是Twitter实现OAuth时公认的安全问题。一个有决心的人可以反编译/破解/解开几乎任何二进制文件来获取您的用户密钥

---

因此，要回答你的问题：就桌面/移动应用而言，这绝对是一个信任问题。就网络应用而言，情况并非如此。

我担心这一点。我希望有一种方法可以锁定我们的消费者共享他们的消费者密钥/秘密和他们的令牌/秘密列表的能力。我想最好的办法是让他们同意服务条款，这样我们就可以得到一些法律保护。