Согласно документам facebook oauth2, поток на стороне клиента не требует секретных параметров клиента. Поток на стороне клиента может быть использован как на родном, так и на мобильных веб-приложениях.
Однако, для работы Google oauth2 требуется секретная информация клиента http://code.google.com/apis/accounts/docs/OAuth2.html#IA.
В этом случае секрет клиента может быть украден хакером с помощью инструментов обратного инжиниринга.
Кто-нибудь может объяснить, почему это было сделано таким образом?