http://www.sakimura.org/2012/02/1487/
Site_A が実は悪いサイトだったとしましょう。
すると、Site_A は、このユーザになり変わる access_token を
まんまと入手してしまったことになります。
Site_A は、以後、このユーザになりすまして、
任意の「OAuth 認証?」をやっているサイトにログインすることができます。
単なる OAuth 2.0 を認証に使っちゃ駄目。
OAuth は Authorization Delegation Protocol = 認可を
デリゲーションするためのプロトコルであって、
ユーザ認証のためのプロトコルではない。
Facebook でログインするなら signed_request というAPIを使う。
これは、OpenID Connect とほぼ同じもの。
OpenID Connect 対応にするように、と。