oauth为什么要传输secret

要表示身份，appid够了，要加密加签，服务端就有这个密钥，传过去徒增被拦截风险

考虑到客户端之不可信，三方程序员很有可能不验证签名直接完成握手，secret有很大可能泄漏

可以用secret作为盐（对称密钥）来签名，用secret给appid➕时间戳sha2或md5签名再base64（一个字符cover 6位，一个字节8位，4个字符cover 3个字节，4个字符本身占用4个字节），然后传输那个签名，secret放客户端不传输