Mobile and Native Apps Authorization Flow
Как и SPA, мобильные приложения не могут хранить в секрете client secret и должны использовать OAuth flow без этого параметра. Лучшие практики - использовать Authorization Flow, запуская внешний браузер, на контент которого Native App влиять не может (в том числе и читать его). Если сервис поддерживает PKCE, то это доп слой безопасности для Mobile и Native Flow.
Многие сайты предоставляют SDK. Лучше использовать их. У Google есть библиотека AppAuth, которая содержит реализацию OAuth 2.0 клиента для взаимодействия с любым сервером.
Last updated