A seconda dei diversi flussi che si desidera o si devono utilizzare (codice di autorizzazione, grande implicito, password del proprietario della risorsa o flussi di credenziali del client) potrebbe essere necessario un token di autorizzazione e un token di accesso definitivo. Il token di autorizzazione può essere memorizzato nel database e può avere TTL di più giorni mentre il token di accesso (circa 5 minuti o configurabile) è più breve e può essere memorizzato sul server in una lista accessibile da diversi client (sincronizzazione!). OAuth2 non utilizza la firma e pertanto HTTPS è obbligatorio. Il token non deve essere archiviato come cookie in quanto non lo è per ragioni diverse (cache, vulnerabilità di trasporto, ..). Poiché il token di accesso è collegato all'utente, può essere salvato all'interno della sessione dell'applicazione client.