とある OAuth2 サーバサイド実装にセキュリティ的に良くなさそうな点があったため指摘した時の話