Ho letto molto su OAuth2 cercando di aggirarmi, ma sono ancora confuso su qualcosa.
Comprendo che il client autorizza con il provider OAuth (ad esempio Google) e consente al Resource Server di avere accesso ai dati del profilo dell'utente. Quindi il client può inviare il token di accesso al server delle risorse e ricevere la risorsa.
Ma ciò che non sembra essere coperto da alcuna documentazione è ciò che accade quando l'app client richiede una risorsa al server delle risorse e gli passa il token di accesso. Tutto ciò che ho letto finora afferma che il server delle risorse risponde solo con la risorsa richiesta.
Ma sembra un enorme buco, sicuramente il server delle risorse deve in qualche modo convalidare il token di accesso, altrimenti potrei semplicemente falsificare qualsiasi vecchia richiesta e passare un token vecchio, rubato, falso o generato casualmente e lo accetterebbe.
Qualcuno può indicarmi una spiegazione semplice di OAuth2 perché finora quelli che ho letto sembrano incompleti.