Saya sudah banyak membaca tentang OAuth2 mencoba untuk mengatasinya, tapi saya masih bingung tentang sesuatu.
Saya memahami bahwa klien mengotorisasi dengan penyedia OAuth (Google misalnya) dan memungkinkan Server Sumber Daya untuk memiliki akses ke data profil pengguna. Kemudian klien dapat mengirim token akses ke server sumber daya dan diberikan kembali sumber daya tersebut.
Tetapi apa yang tampaknya tidak tercakup dalam dokumentasi apa pun adalah apa yang terjadi ketika aplikasi klien meminta sumber daya server untuk sumber daya dan memberikannya token akses. Semua yang saya baca sejauh ini menyatakan bahwa server sumber daya hanya merespons dengan sumber daya yang diminta.
Tapi itu tampak seperti lubang besar, tentunya server sumber daya entah bagaimana harus memvalidasi token akses, kalau tidak saya bisa saja memalsukan permintaan lama dan melewati token lama, dicuri, palsu, atau dibuat secara acak dan hanya akan menerimanya.
Adakah yang bisa mengarahkan saya pada penjelasan sederhana untuk mengikuti OAuth2 karena sejauh ini yang saya baca merasa tidak lengkap.