这种说法是不正确的：

两者都在每个请求中传输

秘密永远不会发送。相反，每个请求都使用密钥进行签名。从Twitter API 文档中，发送的数据在Authorization标头中是：

OAuth oauth_consumer_key="xvz1evFS4wEEPTGEFPHBog", 
    oauth_nonce="kYjzVBB8Y0ZFabxSWbWovY3uYSQ2pTgmZeNu2VS4cg", 
    oauth_signature="tnnArxj06cWHq44gCs1OSKk%2FjLY%3D", 
    oauth_signature_method="HMAC-SHA1", 
    oauth_timestamp="1318622958", 
    oauth_token="370773112-GmHxMAgYyLbNEtIKZeRNFsMKPR9EyMZeS9weJAEb", 
    oauth_version="1.0"

文档继续说：

oauth_signature 参数包含一个通过签名算法运行所有其他请求参数和两个秘密值生成的值。签名的目的是让 Twitter 可以验证请求在传输过程中没有被修改，验证发送请求的应用程序，以及验证应用程序是否有权与用户的帐户进行交互。

正如文档所述，签名用于身份验证并确保请求在签名后不被篡改。

这种身份验证策略的另一个优点是它可以很好地与无状态服务交互。