Секретная часть каждого набора учетных данных (клиентских, временных, токенов) должна быть как можно более произвольной и максимально продолжительной. Вы хотите помешать кому-либо раскрыть секреты, перехватив запрос и взломав подпись.
Раздел Энтропия секретов в спецификации OAuth 1.0a более подробно (но не намного).
Я обычно читаю из /dev/urandom (в системах Linux), чтобы получить двоичную строку из 12 или 15 случайных байтов, а затем кодировать ее с помощью base64. Вы можете сделать секрет клиента дольше, так как он редко меняется, если вообще когда-либо.