¿El servidor de recursos y el servidor de autorización pueden estar en el mismo servidor en OAuth 2.0? Además, ¿pueden compartir la misma base de datos también?
Según enlace
El servidor de autorizaciones puede ser el mismo servidor que el servidor de recursos o una entidad separada.
Lea otras preguntas en las etiquetas oauth oauth2