API呼び出しするときも利用者認証と同じ方法で署名を付ける必要がある。
違う点は、

1. oauth_tokenはConsumer TokenとAccess Tokenを"&"で連結した文字列（だったはず・・・Access Tokenだけでよかったかも知れない）
2. oauth_signatureを作成するときの共通鍵はConsumer SecretとAccess Secret
3. POSTするメッセージも署名を作るときのパラメータに含める

と、ざっと書いただけでこんだけ。はっきり言って既存のライブラリがあるならそれを使った方が全然楽だと思います・・・（とくに、HMAC-SHA1とランダム文字列作る辺り）
情報セキュリティスペシャリスト（笑）的には抑えておきたかったのでDIYしてみたけど、丸一日使ってしまった・・・。