Вот уже который день разбираюсь в протоколе OAuth и никак в моей голове не уложится один момент:
Предположим, есть у меня некий сервис с REST API и OAuth-сервер. Я создаю десктоп (или мобильное) приложение, регистрирую его на OAuth-сервере и получаю сгенерированные им app_id и app_secret, которые впоследствии использую для получения токена. Предположим, мое приложение будет раз в минуту отсылать лог работы на сервис (методом POST), и работать оно должно 24/7 без вмешательства человека, а значит токен мне нужен бессрочный. Далее значит получаю я токен и начинаю работать с сервисом. При этом, как я понимаю, и app_id и app_secret и токен должны где-то хранится. В случае десктоп приложения это, например, конфигурационный файл или реестр Windows. Соответственно, эти данные можно скомуниздить и использовать в нехороших целях, например, тупо заDDoSить мой сервис каким нибудь сторонним приложением.

Правильно ли я рассуждаю или где-то ошибаюсь?

^ozzy^,
это вариант решения «проблемы», которую я описал и я о решениях тоже думал. Но суть вопроса была в том, а не выдумал ли я эту проблему, может я просто неверно рассуждаю. Ведь люди, разрабатывающие данный протокол должно быть не глупы и тоже думают о таких вещах