Достоверна ли подпись OAuth?

Я смотрю на документацию OAuth1.0A для реализации аналогичного протокола. Делая это, я пытаюсь найти обоснование для каждого элемента в запросе.

Интересно, для чего подпись. Пока я понимаю, что подпись может быть использована для гарантии целостности данных. Но что, если хакер создаст подпись, используя oauth_signature_method, указанный в запросе oauth?

Я знал, что мы можем гарантировать идентичность отправителя, добавляя общий секрет в базовую строку перед кодированием. Тогда подпись стоит только тогда, когда добавляется общий секрет. Правильно?