Должен ли секрет запроса OAuth 1.0 быть скрыт от пользователя?

Возможный дубликат:
Почему OAuth предоставляет и токен доступа, и секрет токена доступа? Почему не просто одно значение?

Я не понимаю, почему токен запроса OAuth 1.0 разделен на ключ и секрет. Я не могу понять, какие векторы атаки стали возможными благодаря тому, что Потребитель раскрывает секрет Пользователю вместе с ключом. У человека посредника все еще не будет секрета потребителя, и поэтому он не сможет подделать какие-либо запросы от имени Потребителя. Кроме того, любой посредник, способный увидеть секрет токена запроса, теоретически также может в любом случае подделать Пользователь, так что даже если Потребитель скрывает секрет от Пользователя, MITM будет быть в состоянии выдать себя за пользователя и причинить такой же ущерб.

Похоже, что я что-то здесь упускаю... Должно быть какое-то преимущество в том, чтобы скрывать секрет от Пользователя, иначе зачем вообще иметь "секрет"? Связано ли это с тем, что подпись запроса OAuth сложнее подделать?