Client nào có thông tin xác thực thì sẽ được nhận token truy cập từ máy chủ cấp quyền

Nguồn:: Create access credentials  |  Google Workspace  |  Google for Developers

Authorization server: làm nhiệm vụ xác thực, kiểm tra thông tin mà user gửi đến từ đó cấp quyền truy cập cho ứng dụng bằng việc sinh ra các đoạn mã access token. Đôi khi authorization server cũng chính là resource server.

Nguồn:: Viblo, Tìm hiểu đôi chút về OAuth2
Client gửi token truy cập đến máy chủ cấp quyền để được truy cập tài nguyên
Khi token truy cập hết hạn, client gửi refresh token đến máy chủ cấp quyền để được cấp token truy cập mới
Client là ứng dụng muốn truy cập vào dữ liệu của người dùng