Насколько важно хранить в секрете токен доступа OAuth?

Как только я получаю токен доступа к сайту (скажем, facebook) с помощью OAuth, насколько важно хранить этот секрет? Может ли случиться что-нибудь злонамеренное, если кто-то завладеет одним из них?

Мне было интересно, не стоит ли сохранять токен в файле cookie или сеансе.