Cuando se utilizan códigos de autorización (en el flujo explícito de oAuth2), el agente de usuario parece no ver nada que no sea el código de autenticación, que ni siquiera identifica al usuario. Luego se envía el código al cliente, que ahora conocerá la identidad del usuario y podrá acceder al recurso protegido. Pero el agente de usuario todavía parece no saber quién está conectado.
Entonces, ¿cómo sabe un agente de usuario quién está conectado?
A lo que te refieres es a la administración de sesión, que no es parte de la especificación OAuth 2.
En la práctica, para la administración de sesiones muchas soluciones hacen uso de la sesión HTTP. Después de la autenticación exitosa, el servidor almacena cualquier información relacionada con el usuario en la sesión HTTP en el lado del servidor. Si cierra su agente de usuario / navegador, se eliminará la sesión HTTP, en cuyo caso tendrá que iniciar sesión nuevamente. Excepto por la sesión HTTP, el agente de usuario no necesita conocer ninguno de los tokens involucrados.
Si desea que la sesión de un usuario persista incluso después de cerrar un navegador, una forma sería usar cookies.