Facebook API：App Secret-誤用の可能性

あなたは正しいです。アプリシークレットは秘密にする必要があり、クライアントコードをリバースエンジニアリングして簡単に取得することはできません。
FacebookはOAuthを使用するため、ここで言うすべてのことは、認証と認証にOAuthを使用するすべてのアプリケーションにも適用されます。アプリシークレットは、facebookに対してクライアントを認証します。ユーザー名/パスワードがWebサービスに対してユーザーを認証するのと同じように、モバイル/デスクトップクライアントは、サーバーの資格情報としてアプリの秘密鍵を使用して、その「実際の」正当なクライアントアプリであることを検証します。

悪者がこれらのエントリを取得した場合、悪者が実行できる最悪の悪用は何ですか？

クライアント/アプリケーションのように見えるスプーフィングされたクライアントを作成してリリースする可能性があります。無警戒なユーザーはそれをダウンロードし、それを使ってFacebookに接続します。ユーザーの資格情報の認証はFacebookのページで行われるため、偽のアプリはユーザーの資格情報を取得しません（これは良いことです）。ただし、ユーザーはFacebookでこの偽のアプリを承認することになります。 Facebookはその秘密を提示する誰もがあなたであると信じているので、喜んでそれを行います。その結果、偽のアプリはユーザーの「アクセストークン」を取得し、コメントの投稿を開始したり、実際のアプリが意図しない他のことを実行したりできます。
一言で言えば、ここで問題となっているのはあなたの評判の価値です。他のクライアントは、facebookのクライアントとしてなりすますことができます。

これは、コンシューマキー（アプリシークレットに相当）をプレーンテキストで格納した1つのTwitterクライアントの 完全なケーススタディ です。

私はそのブログから一行引用しています：

侵害された消費者秘密鍵がアプリケーションのユーザーのセキュリティを危険にさらすことはないことを理解することは非常に重要です。個々のアカウントにアクセスするには、認証プロセス中にユーザーの代わりにクライアントアプリケーションの個々のインスタンスが自動的に取得するアクセストークンが必要であるため、キーを使用して他のユーザーのアカウントにアクセスすることはできません。

では、クライアントシークレットをどのように保護しますか？
スタンドアロンのクライアント（モバイルアプリなど）の場合、何らかの形で埋め込む以外に選択肢はほとんどありません。エキスパートのリバースエンジニアにとっては残念ながら、デコードできるようになるのは時間の問題です。結局のところ クライアントのどこかに（何らかの形で）ある 。クライアントがそれを再計算/再アセンブルできる場合、リバーサーも可能です。

編集：アプリケーションアーキテクチャで許可されている場合、サーバーはクライアント/モバイルアプリに代わってOAuthステップを実行できます。このようにして、キーはサーバーに常駐し、すべてのOAuthステップを実行して、access_tokenをクライアントに渡し、それを使用してユーザーのFacebookデータにアクセスします。この時点で、ブラウザー-Webサーバー-Facebookの相互作用 ここで説明 と非常によく似た動作をしています。この図では、「ユーザーのブラウザ」を「クライアント/モバイルアプリ」に、「アプリ」を「サーバー」に置き換えてください。

これがWebアプリケーションの一種である場合、サーバー側にのみキーを保持し、Facebookの サーバー側のフロー を使用してアプリのシークレットが漏えいしないようにすることで簡単に実現できます。