Чета я не понимаю один момент в этом вашем OAuth

Вот чтобы залогиниться/зарегаться нужно создать приложение.

В случае централизованной херни всё просто, мы идем в кабинет разработчика и натыкиваем там
А в случае мастодона и его клонов всё ещё проще - мы идем в API без авторизации и там в пару POST-параметров натыкиваем приложение

Теперь представим, что мы пилим к соцсетке без фронта фронт.
Но раз у нас приложение для конечного юзверя, получается что на каждую сессию в вроде бы родном фронте надо регать приложение..? Расшарить client_id и client_secret тупо никак, некуда

Это нормально так делать?

//Да, Мо опять беспокоится из-за строчек в БД