Нет, каждый запрос шифруеться нашим secret, secret никуда не передаеться. Токен в oauth на самом деле присутствует толкьо в 3-legged режиме. Это идентификатор пользователя (третего лица). И он зашифрован. Украсть его не получиться. Надо украть secret и знать алгоритм шифрования, что бы расшифровать его. Если у вас система расчитана только на 2 участника, то разумнее использовать 2-legged.