OAuth の /authorize では、GET リクエストで authorization code を即発行せず、ログイン状態と request validation を確認したうえで同意画面を返す。code 発行はユーザーが approve した POST のみで行い、consent 用の短寿命 token を cookie と hidden field の両方で照合すると、意図しない承認 POST や CSRF 的な操作を防ぎやすい。