为Apple Music API在客户端上存储开发人员令牌安全吗？

Question

我正在编写一个与application接口的应用程序，直到现在为止，我所有的API调用都是非个性化的，比如搜索目录歌曲或艺术家。典型的流程是客户端应用程序通过访问服务器的" search“端点来搜索某些内容，然后我的服务器(其中存储了开发人员令牌)实际上会向API发出请求，然后将搜索结果传回给客户机。

但是，我现在需要提出一些个性化的API请求，比如获取用户的播放列表。这要求将用户令牌与开发人员令牌一起包含在请求中。问题是，要请求用户令牌，我似乎需要使用requestUserToken，它会在设备上拔出一个提示符来授权我的应用程序使用Apple，并且需要一个开发者令牌作为参数。

将开发人员令牌放置在客户端似乎是不安全的，因为它们可以直接用于发出任何请求，而恶意客户端理论上可能会发送大量请求并导致速率限制生效。

我是误解了这个协议中的某些内容，还是只需要承担风险并告诉我的服务器将开发人员令牌传递给客户端？

Answer 1

由于不知道要做什么，所以从服务器发送加密的dev令牌，并在客户端上解密。