Quando si utilizzano i codici di autorizzazione (nel flusso Explicit oAuth2), l'agente utente non sembra mai vedere altro che il codice di autenticazione, che non identifica nemmeno l'utente. Il codice viene quindi inviato al client, che ora conoscerà l'identità dell'utente e potrà accedere alla risorsa protetta. Ma l'agente utente sembra ancora essere tenuto all'oscuro su chi ha effettuato l'accesso.
Quindi, come fa un agente utente a sapere chi ha effettuato l'accesso?
Ciò a cui ti riferisci è la gestione delle sessioni, che non fa parte delle specifiche di OAuth 2.
In pratica, per la gestione delle sessioni molte soluzioni fanno uso della sessione HTTP. Dopo l'autenticazione corretta, il server memorizza le informazioni relative all'utente nella sessione HTTP sul lato server. Se chiudi il tuo user agent / browser, ucciderà la sessione HTTP, nel qual caso dovrai effettuare nuovamente il login. Ad eccezione della sessione HTTP, l'interprete non ha realmente bisogno di conoscere nessuno dei token coinvolti.
Se vuoi che la sessione di un utente continui anche dopo aver chiuso un browser, un modo sarebbe utilizzare i cookie.