Instagram的OAuth與thiago locatelli庫

Question

我正在實施Android應用程序的instagram訪問。到目前爲止，下面的庫被用來獲取訪問令牌，這似乎很受歡迎。 https://github.com/thiagolocatelli/android-instagram-oauth 在Instagram的API指南我讀了「你永遠不應該附帶您的客戶端密鑰到你無法控制的設備。」

這不是圖書館做什麼，因爲它使用用戶設備上的客戶端祕密？ 有人可以解釋我，如果/爲什麼這是合法的這種方式？

Answer 1

我會做的是在運行時創建客戶端密鑰。與應用內購買密鑰相同嗎？

重要提示：爲了使您的公鑰的惡意用戶和黑客攻擊，沒有嵌入你的公鑰作爲一個完整的文本字符串。相反，在運行時從零件構造字符串或使用位操作（例如，與其他字符串的XOR）來隱藏實際的鍵。密鑰本身並不是祕密信息，但您不希望讓黑客或惡意用戶輕易地用另一個密鑰替換公鑰。