Dependiendo de los diferentes flujos que desee o tenga que usar (código de autorización, gran implícito, contraseña del propietario del recurso o flujos de credenciales de cliente), es posible que necesite un token de autorización y definitivamente un token de acceso. El token de autorización se puede almacenar en la base de datos y puede tener un TTL de más días, mientras que el token de acceso (alrededor de 5 minutos o configurable) tiene una duración más corta y se puede almacenar en el servidor en una lista a la que pueden acceder diferentes clientes (¡sincronizar!). OAuth2 no hace uso de la firma y, por lo tanto, HTTPS es una necesidad. El token no debe almacenarse en el interior como la cookie, ya que no se puede colocar por otra razón (caché, vulnerabilidad de transporte, ...). Como el token de acceso está vinculado al usuario, se puede guardar dentro de la sesión de la aplicación cliente.