我们正在使用Graph API客户端凭据应用程序秘密流程将我们的桌面应用程序连接到Graph API。此流程要求我们注册的应用程序被授予租户特定的权限。然后,我们的应用程序将使用我们的客户ID,客户机密和租户ID连接到租户。
我们希望对客户保密,而且要保密。但这是一个桌面应用程序,通过许多其他搜索,似乎几乎不可能在防止反向工程的桌面应用程序中保守秘密。
那么Graph API客户端凭据应用程序密码流实际上如何安全?客户端ID基本上是公开的,并且可以对秘密进行反向工程。只是由租户ID才是真正的秘密吗?
一个想法是:我们可以使用您的签名证书来加密和解密机密吗?