J'ai beaucoup lu sur OAuth2 en essayant de m'en sortir, mais je suis toujours confus à propos de quelque chose.
Je comprends que le client autorise le fournisseur OAuth (Google par exemple) et autorise le serveur de ressources à accéder aux données de profil de l'utilisateur. Ensuite, le client peut envoyer le jeton d'accès au serveur de ressources et récupérer la ressource.
Mais ce qui ne semble pas être couvert dans la documentation est ce qui se passe lorsque l'application cliente demande au serveur de ressources une ressource et lui transmet le jeton d'accès. Tout ce que j'ai lu jusqu'à présent indique que le serveur de ressources répond simplement avec la ressource demandée.
Mais cela semble être un énorme trou, le serveur de ressources doit sûrement valider le jeton d'accès, sinon je pourrais simuler n'importe quelle ancienne demande et transmettre un ancien jeton, volé, faux ou généré de manière aléatoire et il l'accepterait simplement.
Quelqu'un peut-il m'indiquer une explication simple à suivre de OAuth2 parce que jusqu'à présent, celles que j'ai lues sont incomplètes.