OAuth 1.0のクライアントが署名するデータはHTTPリクエストメソッドとURIとそのクエリ部分とタイムスタンプやらnonceやらと、リクエストボディが`application/x-www-form-urlencoded`の場合はその内容からなることになっているのだけど（<https://www.rfc-editor.org/rfc/rfc5849#section-3.4.1>）、一方でTwitter API v2で`POST`するパラメタは`application/json`として送ることになっていて、つまりパラメタが署名の対象にならないということなのだけど、どうせHTTPSを通すとはいえ本当にこれで良いのかという気持ちになってしまう