Twilio的文档说明如下
为了您的Twilio帐户的安全性,您不应在您提交到App Store的应用程序中将Capability Token或Twilio Auth Token嵌入为字符串。
和
Twilio Client SDK使用功能令牌来签署从iOS应用到Twilio的通信。这些令牌由您在服务器上创建,允许您指定应用程序可用的功能,例如它是否可以接收传入连接,进行传出连接等。这些令牌始终有一个到期,这意味着所有令牌的使用寿命有限,可以保护您免受滥用。由您决定必须刷新这些令牌的频率。
我的问题是,如果您无法在应用中嵌入令牌,Twilio如何验证应用的真实性?您可能能够使令牌无效,但是什么阻止了滥用者请求新令牌?如果您的应用程序拥有100k +用户,则无法进行管理。