<div dir="ltr">I think this should be on reddit either way. Perhaps someone will suggest a way around the oauth2 limitation.<br><div>Having to generate new client secrets just to use an app that already exists seems like a mission, so providing a default set that work and the user can just make sure they get the original app seems more practical. i.e. download binary from a reputable place i.e. your distributions repos.</div><div><br></div><div>Also you are doing the same way everyone else does it; by prompting at the command line sooo....</div><div><br></div><div><br></div><div><br></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Wed, Sep 23, 2015 at 2:38 PM, Rory McGuire <span dir="ltr"><<a href="mailto:rjmcguire@gmail.com" target="_blank">rjmcguire@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">Problem is right now anyone can make an app and pretend its your app, and then ...<div><br></div><div>If the user gives your keys access to their stuff so does anyone else who has your keys, if they can get the oauth2 redirect to redirect to a matching url at least.</div></div><div class="HOEnZb"><div class="h5"><div class="gmail_extra"><br><div class="gmail_quote">On Wed, Sep 23, 2015 at 10:38 AM, skilion via Digitalmars-d-announce <span dir="ltr"><<a href="mailto:digitalmars-d-announce@puremagic.com" target="_blank">digitalmars-d-announce@puremagic.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span>On Wednesday, 23 September 2015 at 04:30:23 UTC, Rikki Cattermole wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
You probably should not be exposing developer information for authentication.<br>
You need to get the authentication fixed. Users should login via user/pass.<br>
</blockquote>
<br></span>
I think you are referreing to the the fields client_id and client_secret in the config file.<br>
<br>
As I understand it, if a service is using OAtuh2, it is exactly to allow its users to use third party apps without leaking the username and password. My app is registered as a desktop application, so it should be assumed that the client "secret" can't be really kept secret like in a web app.<br>
<br>
Knowing the client secret allows you to produce API calls under my app name, but you still need to get a permission from the user to access their data.<br>
<br>
</blockquote></div><br></div>
</div></div></blockquote></div><br></div>