С точки зрения OAuth 2.0 пользователям не требуется проверять учетные данные приложения.Учетные данные приложения принадлежат приложению и должны быть защищены от любых третьих лиц, включая конечных пользователей.
OAuth 2.0 предназначен для авторизации или, другими словами, делегирования доступа.Когда конечный пользователь использует ваше приложение, он / она разрешает вашему приложению использовать его / ее ресурсы.Поэтому задача приложения - извлекать, хранить, использовать и защищать учетные данные.
Подробнее о клиентах (приложениях) читайте в спецификации OAuth 2.0 .
Еще одна вещь,
Этот токен используется для подписи аутентифицированных запросов через заголовки запросов
Это понимание неверно.Как только приложение получит токены, они будут просто пропущены через заголовки к защищенной конечной точке OAuth (например: Mastodon API).Это выделено в их документации
Получив токен доступа, добавьте HTTP-заголовок Authorization: Bearer ... к любому вызову API.
Подробнее об этом см. RFC6750 - Структура авторизации OAuth 2.0: использование токенов на предъявителя