Идентификатор клиента OAuth и секретная обработка

Я знаю, что этот вопрос задавался ранее, но я не могу найти хороших ответов на это. Я разрабатываю решение OAuth, и мы используем поток владельцев ресурсов для нашего собственного нативного приложения.

Идентификатор и секрет клиента - это то, что мы используем для того, чтобы узнать, что это "официальный" запрос, но что мешает любому найти идентификатор клиента и его секрет на клиенте и реализовать его. Как мы можем должным образом защитить идентификатор клиента и его секрет, чтобы их могли использовать только наши официальные приложения.

Какова лучшая практика для этого, и возможно ли это остановить? Я предполагаю, что все, что хранится на клиенте, может каким-то образом быть обращено вспять, и кто-то может притвориться "родным" приложением.

Я предполагаю, что Faceboo k использует поток владельцев ресурсов для своих собственных приложений. Как они защищают свой идентификатор клиента и секрет клиента? Токен, который они получают, вероятно, имеет разрешения на что-либо, а также, возможно, некоторые внутренние API, поэтому я считаю, что они не хотят, чтобы все могли использовать это.