Почему я должен передавать `client_secret` для получения` access_token`?

, чтобы получить Access_Token из Facebook, вы должны передавать ваш App_id , код , который вы получаете после запроса авторизации, И ваше приложение SENTE_KEY .

Почему я когда-либо передает мой секретный ключ? Это кажется вновь небезопасно. Это требование о спецификации OAUTH 2.0?

как связанный с этим вопрос, почему мне нужно будет передавать App_id , когда мой запрос уже подписан с My Thumber_Key ?

У меня есть рабочее приложение, я просто не понимаю этих требований.