Меня смущает OAuth и его использование токена и token_secret при доступе к защищенным ресурсам. Имеет смысл, чтобы токен и token_secret отправлялись обратно пользователю для подписания, когда токен доступа предоставляется. Однако я обнаружил, что 3 сайта, использующих OAuth 1.0, требуют, чтобы секретный ключ не только использовался для подписи, но и должен был быть отправлен обратно с токеном при доступе к защищенным ресурсам. Для меня это не имеет абсолютно никакого смысла с точки зрения безопасности и, кажется, противоречит тому, что рекомендуется в спецификации OAuth: http://oauth.net/core/1.0/#anchor13.
Так что я упускаю что-то очевидное или я прав, полагая, что token_secret следует использовать ТОЛЬКО для подписи и никогда не отправлять обратно на сервер.