当使用WSO2作为移动应用程序的API网关时，如何安全地处理用户密钥和机密

我们正在构建具有下图所示架构的移动应用程序及其API服务器。

我们将WSO2作为Spring Boot API服务器前面的API网关。我们使用WSO2 API管理器来限制谁可以调用API。只有已在我们的WSO2中注册并具有正确的使用者密钥和秘密的客户端才能通过WSO2调用API，通过该方法，客户端首先调用WSO2的令牌端点以将使用者密钥和秘密与访问令牌进行交换，然后调用所需的API在头Authorization: Bearer <access token>中带有访问令牌

我们有一个问题，因为安全审核禁止我们将机密存储在移动应用安装程序包中，所以我们不知道如何保护消费者的机密。

已经有一些问题，例如

WSO2 API Manager - How does mobile app connect to API Manager?

WSO2 Api Manager OAuth2 DCR security in public native mobile app

但是没有正确的答案指出问题所在。他们中的大多数人对oauth2流的复杂性误导了。

为了使问题更明确明确，请假设我们的手机没有用户登录。此问题的目标是仅允许受信任的移动应用程序通过WSO2调用API。

请帮助建议是否可行。或者，我们别无选择，只能允许任何人调用该API。还是WSO2的用户订购功能根本不旨在直接从移动应用程序使用？

我们正在构建具有下图所示架构的移动应用程序及其API服务器。在Spring Boot API服务器之前，我们将WSO2作为API网关。我们使用WSO2 API管理器来...