Ответ 1
Стандарт OAuth 2 требует, чтобы сервер авторизации ДОЛЖЕН использовать HTTPS на всех своих конечных точках, и клиент ДОЛЖЕН использовать обратный вызов, защищенный HTTPS. Поскольку содержимое сообщений (заголовки, параметры запроса и фрагменты с учетом OAuth) известны только сервером и клиентом, использование HTTPS-соединения считается безопасным. Таким образом, нет никакой выгоды, использующей отдельную подпись для запроса авторизации, поэтому такие подписи даже не упоминаются в стандарте.
Это не обязательно для ответа. Если клиент получает ответ авторизации на незащищенный обратный вызов, он не может проверить его достоверность. В таких случаях злоумышленник может отправить клиенту произвольные авторизационные результаты. Добавляя подпись с параметрами обратного вызова, вы можете избежать этого. Однако, похоже, это лучшее решение для использования взаимной аутентификации клиент/сервер с обратным вызовом HTTPS.
Пока нет реального выигрыша, использующего подписи во время авторизации, они могут быть полезны для доступа к защищенным ресурсам, чтобы избежать кражи токенов доступа. Вот почему маркер MAC-типа находится в стандарте, см. раздел 7.1.