Oauth2 рекомендует (фактически требует) идентифицировать запрос авторизации с параметром state и проверить его соответствие в ответе.
Вот краткий обзор: https://auth0.com/docs/protocols/oauth2/oauth-state
Каков правильный ответ браузеру в случае несоответствия параметров состояния?