Почему OAuth включает как токен доступа, так и секрет токена доступа как два отдельных значения? Как потребитель или OAuth, все рекомендации, которые я видел, указывают на то, что я должен хранить токен и секрет вместе и, по сути, рассматривать их как одно значение.
Итак, почему спецификация требует в первую очередь двух значений?
Собственно, секрет токена доступа никогда не передается провайдеру. Вместо этого запросы передают токен доступа, а затем используют секрет для подписи запроса. Вот почему вам нужны оба: один для идентификации и один для защиты
Есть 2 секреты, один - секретный секрет, а другой - секрет потребителя. Секреты используются для подписи запросов (для генерации oauth-подписи), но не передаются в заголовке запроса, где токен отправляется в заголовке, чтобы идентифицировать клиента и проверить, имеет ли он доступ.