Почему OAuth включает и маркер доступа и секрет маркера доступа как два отдельных значения? Как потребитель или OAuth, все рекомендации, которые я видел, указывают, что я должен сохранить маркер и секрет вместе и по существу рассматривать их как одно значение.
Итак, почему спецификация требует двух значений во-первых?
На самом деле, секрет маркера доступа никогда не передается провайдеру. Вместо этого запросы передают маркер доступа, а затем используют секрет для подписи запроса. Вот почему вам нужны оба: один для идентификации, а другой для защиты