<div style="white-space:pre-wrap">When considering non public API and applying a OAuth authentication policy, the application identifier must be provided using the api_key as a header?<br><br>If so, does not it means that the user authorized client and the actual api consumer application have no strict relationship?  <br><br><br>Thanks<br>Michele</div>