Standard OAuth 2 wymaga, aby serwer autoryzacji MUSI używać HTTPS na wszystkich swoich punktach końcowych, a klient POWINIEN wykorzystywać wywołanie zwrotne zabezpieczone protokołem HTTPS. Ponieważ treść wiadomości (nagłówki, parametry zapytania i fragmenty uwzględniające OAuth) są znane tylko serwerowi i klientowi, korzystanie z połączenia HTTPS jest uważane za bezpieczne. Tak więc nie ma zysku przy użyciu oddzielnego podpisu dla żądania autoryzacji, dlatego takie podpisy nie są nawet wymienione w standardzie.
Nie musi to jednak dotyczyć odpowiedzi. Jeśli klient otrzyma odpowiedź autoryzacyjną na niezabezpieczony oddzwanianie, wówczas nie może zweryfikować jego ważności. W takich przypadkach osoba atakująca może wysłać dowolne wyniki autoryzacji do klienta. Dodając podpis z parametrami wywołania zwrotnego, możesz tego uniknąć. Jednak wydaje się lepszym rozwiązaniem do korzystania z wzajemnego uwierzytelniania klienta/serwera z funkcją oddzwaniania HTTPS.
Chociaż nie ma rzeczywistego zysku za pomocą podpisów podczas autoryzacji, mogą być przydatne dostęp do chronionych zasobów, aby uniknąć kradzieży tokenów dostępu. Z tego powodu typ tokena MAC jest w standardzie, patrz section 7.1.