Security OAuth-在应用程序中嵌入客户端机密？

我在这里查看twitter建议的oauth实现：

https://dev.twitter.com/docs/auth/oauth

和oauth库，如路标：

http://code.google.com/p/oauth-signpost/

他们都谈到在oauth流中使用客户机机密，这意味着对于我的客户机应用程序，我需要将机密存储在应用程序本身中。这可能很危险，因为有人可能会从我的应用程序中窃取秘密。在我的应用程序中存储秘密有什么方法吗？我是否误解了oauth流

---

谢谢

在本机或JavaScript应用程序中存储客户机凭据时，如果不将其公开，是没有任何方法的。此外，将这些凭据放在代理服务器上并让客户机与服务器对话（这样凭据就不会公开）也不能真正解决任何问题。现在，您遇到了一个将客户端验证到代理的问题

---

正确的解决方案是对OAuth服务提供的本机应用程序提供特殊支持。OAuth 2.0使用预先注册的重定向URI和其他技术为此类客户端完成合理的客户端身份验证。

您能详细说明一下吗？我快速浏览了一下草稿——这是否意味着本机应用程序在使用OAuth时不使用“客户机机密”？您能描述一下所需的流程吗？本机应用程序不应该使用客户端机密，因为它没有真正的价值，并且会产生虚假的安全感。