Учитывая, что ВСЕ HTTP-запрос должен быть сделан со стороны пользователя, и consumer_key, и consumer_secret должны быть прямо в ОЗУ пользователя. Итак, я думаю, что каждое приложение может использовать xAuth, украдя ключ и секрет другого. Это смутило меня, потому что твиттер говорит, что только авторизованный разработчик может использовать xAuth, другие должны использовать OAuth.
Как твиттер и сторонние разработчики хранят свои ключи в секрете?