アプリケーションを登録すると、client credentials (client identifier
と client secret) が発行されるわけだけど、この内 client secret は
文字通り秘密にすることが求められている。
これらの情報が第三者の手に渡った場合、そのアプリケーションになりすます
ことが可能になる。
この場合、利用者は不正なアプリケーションを信頼ある著名なアプリケーション
だと誤認し、意図に反する認可を与えてしまう危険性が生じる。

とはいえ、実際に利用者の保護されたデータにアクセスするためには、
改めてアプリケーションに対する認可が必要になるわけで、
単にアプリケーションがなりすまされただけでは、ただちに利用者に
被害が生じるわけではないはず。

そもそも、アプリケーションのなりすましとしては、全く別の登録でも
登録名を詐称することはできるはずで、これに対し、本当のアプリケーションの
本当の登録かを確認する手段がない。
結局、認可を求められたアプリケーションが正当なものかどうかは、
client credentials に拠る部分以外の要素で判断するほかないのではないか。

従って、client credentials が公開された場合のセキュリティ上の問題は、
ほとんど、ないし全くないと言えるのではないか。