Использование oAuth для информирования сервера oAuth, какой пользователь посещает мой сайт

Представьте, что есть провайдер oAuth по имени ACMEAUTH, который является провайдером PayPal ESQ. Онлайн-сайт использует ACMEAUTH для обработки платежей / взаимодействий за / с их продуктами:

Возможно, это игра в шахматы, в которой два игрока могут играть друг на друга за деньги. Каждый сделанный ход должен быть зарегистрирован / зарегистрирован ACMEAUTH, который выплатит победителю в конце.

На сайте размещена игра в шахматы, но он не хочет обрабатывать платежи, поэтому для этого они используют ACMEAUTH.

Каждый ход, который делает игрок, должен быть отправлен в ACMEAUTH для регистрации, чтобы, когда ACMEAUTH выплачивал победителю, он мог разрешать споры, если таковые имеются, по поводу платежа.

После того как пользователь авторизовал онлайн-сайт с помощью oAuth (чтобы ему не приходилось вводить свое имя пользователя / пароль для каждого хода), он может играть в шахматы, а сайт может использовать токен oAuth для регистрации хода игроков. Однако игрок может быть обеспокоен тем, что сайт будет запускать сценарии, которые автоматически воспроизводят ходы для пользователя, в результате чего он проигрывает, и сайт выигрывает и забирает деньги. Когда игрок подтверждает ход, в ACMEAUTH отправляется сообщение с соответствующими деталями.

У меня вопрос, есть ли механизм / архитектура, которую ACMEAUTH может внедрить, чтобы защитить пользователя от этого? Я читал, что PayPal предлагает "безопасные кнопки", где они шифруют отправленную им информацию, чтобы данные не могли быть изменены на кнопке, но это прекрасно, поскольку они знают сумму, которая будет выплачена. Имею ли я какой-то смысл в описываемом мной сценарии, и если да, то есть ли стандартная практика, как это работает? Я изо всех сил пытаюсь найти подходящие термины в Google, чтобы найти ответ, философский обзор того, как к этому приблизиться, был бы великолепен. Спасибо