Если я правильно понимаю, это делается в целях безопасности.
Класс Resource обрабатывает аутентификацию с использованием объекта запроса, затем удаляет заголовки OAuth из запроса перед вызовом данного обработчика. Как правило, вы хотите ограничить видимость подобных вещей. Если вы ограничите доступ к личной информации, такой как ключи и т. Д., Вы потенциально можете ограничить уязвимости.