Ho letto molto su OAuth2 provando a capirlo, ma sono ancora confuso da qualcosa.
Comprendo che il client si autorizza con il provider OAuth (ad esempio Google) e consente al Resource Server di accedere ai dati del profilo dell'utente. Quindi il client può inviare il token di accesso al server di risorse e restituire la risorsa.
Ma ciò che non sembra essere coperto in nessuna documentazione è ciò che accade quando l'app client chiede al server di risorse una risorsa e passa il token di accesso. Tutto ciò che ho letto fino ad ora afferma che il server delle risorse risponde solo con la risorsa richiesta.
Ma sembra un buco enorme, sicuramente il server delle risorse deve in qualche modo convalidare il token di accesso, altrimenti potrei semplicemente falsificare qualsiasi vecchia richiesta e passare un token vecchio, rubato, falso o generato casualmente e lo accetterebbe solo .
Qualcuno può indicarmi una semplice spiegazione di OAuth2, perché finora quelli che ho letto sembrano incompleti.