OAuth — это не просто “настроил и забыл”. Важнее всего жёстко проверять redirect_uri, обязательно ставить PKCE и следить, чтобы state был нормальным и одноразовым. Если где-то подумают “ну сойдёт”, ломается вся цепочка, и потом считай, что аккаунт в руках у злоумышленника. Главное — безопасность строится на деталях, а не на названии протокола.