Какой механизм обеспечивает безопасный вход в систему OmniAuth?

Используя стратегию входа в систему omniauth, пользователь, не вошедший в систему -, перенаправляется к поставщику удостоверений. Поставщик удостоверений гарантирует, что пользователь вошел в систему, а затем перенаправляет пользователя на URL-адрес обратного вызова, позволяющий пользователю войти на сторонний сайт, используя аутентификацию поставщика удостоверений. Этот рабочий процесс объясняется Facebook в их диаграмме здесь:

https://developers.facebook.com/docs/user_registration/flows/

Как можно гарантировать, что злоумышленник не подделает этот обратный вызов, чтобы получить доступ к сторонней учетной записи аутентифицирующего пользователя?