Мы настраиваем решение SaaS для межсерверной аутентификации с использованием AWS Cognito + API Gateway с использованием потока учетных данных клиента oAuth2.
И одна вещь меня полностью беспокоит - я могу получить доступ к секрету клиента приложения в виде обычного текста.
Поскольку мы будем делиться этими учетными данными с реальными клиентами, наличие секретов в тексте боли не выглядит хорошей идеей. Точно так же, как хранение паролей в болевом тексте. На максимальном уровне я ожидал, что смогу получить доступ к этим учетным данным только во время процесса создания клиента.
Я что-то упускаю?