OAuth – секрет потребителя в приложениях с открытым исходным кодом

Я создаю плагин WordPress для коллективного управления учетной записью Twitter. Я хочу разрешить пользователю добавлять аккаунты через панель администратора, аналогичную тому, как это делает twitterfeed.com.

Тем не менее, единственный способ сделать это – заставить пользователя войти в свою учетную запись, зарегистрировать приложение под уникальным именем и вставить в потребительский ключ и секрет пользователя в мое приложение.

Каковы последствия для безопасности простого распространения одного ключа-потребителя и секретности потребителя с моим плагином, чтобы я мог получить токен запроса и токен доступа и свести к минимуму усилия, требуемые пользователем?

Насколько я понимаю, самая большая проблема (я не уверен, что это обязательно проблема безопасности) заключается в том, что кто-то будет использовать ваш ключ / секрет ненадлежащим образом (скажем, приложение для рассылки спама), что приведет к его отзыву. В этот момент каждый экземпляр вашего подключаемого модуля не сможет пройти аутентификацию, и вам придется создать новый, включить его в свой плагин и получить обновление всех пользователей. Что, вероятно, не идеально …

У Ars Technica была довольно хорошая рецензия об этом здесь