お世話になります。

monacaを用いて、HTML5 + Javascriptベースでのスマートフォン用evernoteアプリ開発に取り組んでおります。

evernoteのサーバーとやり取りするためには、キー(consumerKey, consumerSecret)を使い、OAuth認証する必要があります。

evernoteウェブページ(https://dev.evernote.com/intl/jp/doc/start/javascript.php)を参考に開発をしていますが、このページのサンプルコードでは、consumerKey, consumerSecretを「直接」ソースに記載しています。

原理上、ソースに consumerKey, consumerSecret を直接記載せざるを得ず、特にjavascriptでは、原理上、ソースの暗号化もなされませんので(多少の難読化はあるかもしれませんが)、アプリを公開したら、例えばandroidならapkファイルを覗くだけで簡単にconsumerKey, consumerSecret が取得できてしまうのではないかと思います。

これらが、簡単に流出しないように、うまくソースを書く書き方はあるでしょうか。

直感的には、これらからハッシュを生成してやり取りできれば、とも思うのですが、evernoteのoauth認証部分が難読化されていて、(私にとっては)ブラックボックスで手の施しようがない状況です。

そもそも、これらのキー(consumerKey, consumerSecret)は、流出してしまっても良いものなのでしょうか。

Evernote社が流出前提でリスクマネジメントをしていればよいとも思うのですが、直感的にはアプリのなりすましができてしまうので、やはり良くないでしょうか。

可能なら、お知恵をお貸しいただけないでしょうか。

よろしくお願い申し上げます。