Безопасность заключается в том, что ваш общий секрет никогда не должен передаваться через Интернет. Например, в Facebook вы используете секрет своего приложения для проверки cookie на вашем сервере. Если вы не выполняете никакой проверки на сервере, то вы правы в том, что токен доступа или что-то еще не защищено. Однако следует помнить, что с этими сайтами токен доступа связан с одним пользователем. Таким образом, даже если этот человек изменяет файл cookie или любой другой токен доступа, он по-прежнему имеет право доступа только к одной учетной записи Facebook. Таким образом, человек будет делать вредоносные вещи для своего аккаунта.
Таким образом, в случае flash или javascript вы всегда предполагаете, что токен доступа и данные cookie не защищены. Все, что имеет решающее значение для безопасности, вам придется делать на сервере только после проверки данных cookie, чтобы убедиться, что файл cookie поступает из законного источника. Я предполагаю, что вконтакте работает очень похожим образом.
Опять же, самое важное - никогда не передавать ваш секретный ключ за пределы вашего сервера.