[[OAuth 2.0]]が発行する[[アクセストークン (OAuth 2.0)|アクセストークン]]は正当性を保証できないから。言い方を変えると、本人でない人が[[アクセストークン (OAuth 2.0)|アクセストークン]]を利用した場合にも『本人である』とみなされてしまう。