- #40 の nonce パラメータのサポートは難しいが、 PKCE なら trikoder/oauth2-bundle がサポートしている模様 - 参考 [PKCE: 認可コード横取り攻撃対策のために OAuth サーバーとクライアントが実装すべきこと](https://qiita.com/TakahikoKawasaki/items/00f333c72ed96c4da659)
