Nem teljesen ertem a kerdest. Ha API-t hasznalsz, akkor nincs secret, amit bele kell egetni csomagba. A user authentikal valahogy az appban, kap egy tokent, es azzal intezheti a dolgait API-n keresztul. V.o.: van egy univerzalis credential a faszaAppom.msi-ban, amivel barki hozza tud ferni az adatokhoz.
Ha a DB tud userenkent sajat accounttal authentikalni, akkor nincs ilyen problema, ezert kerdeztem azt rogton a legelejen, hogy tud-e ilyet.
Ott is le kell tárolni egy jelszót, csak nem a DB-hez, hanem az api-hoz.
Dehogy kell, pont ez a lenyeg. :)