Manque le paramètre state dans la réponse OAuth2

Lors du flux d'autorisation OAuth2, le paramètre state n'est pas renvoyé dans la redirection vers l'URL de callback.

Selon le standard OAuth2, la réponse devrait inclure ce paramètre pour la validation CSRF :
https://example.com/callback?access_token=TOKEN&state=STATE_VALUE

Pouvez-vous corriger cela pour que le paramètre state soit renvoyé dans la réponse et que le standard soit respecté ?

Le top du top serai de supporter le OIDC

Merci.