我正在构建一个插件，需要访问管理员的分析帐户，并使用WP-Cron 机械装置

我已经看过了instructions for authorizing 这个analytics API version 4. 我的计划是让管理员做OAuth2 authorization with Google offline access. 用户将验证他们的帐户，并获取一个令牌，该令牌可以复制粘贴到插件中，以便访问API。然后插件可以根据需要刷新令牌以获得新的令牌。

我选择了Web服务器流作为本用例中最合适的流。

我一直在看Google Analytics by MonsterInsights 他们似乎在做同样的事情。但他们需要include the client id and secret key for their app with the source code.

在源代码中包含客户端私钥不是一个问题吗？我是否需要遵循更好的做法？

非常感谢您提供任何信息。

Edit: 查看以下引用自https://developers.google.com/identity/protocols/OAuth2WebServer

我们建议您设计应用程序的身份验证端点，以便您的应用程序不会向页面上的其他资源公开授权代码。

和

重要提示：不要存储client\\u机密。json文件位于可公开访问的位置。此外，如果将源代码共享给应用程序，例如，在GitHub上存储client\\u机密。源树之外的json文件，以避免无意中共享客户端凭据。