Нужен ли HMAC, если все вызовы API осуществляются через https?

Если все вызовы API отправляются через https, добавляет ли HMAC дополнительную безопасность? Например, в oauth 2 клиент отправляет свой секретный ключ провайдеру без какого-либо хеширования. Это считается безопасным, потому что это через https? Хотя это не совсем oauth, использование HMAC в этом вызове сделает oauth 2 более безопасным? Если да, то почему это не является стандартной частью oauth 2?