Entre los tokens de acceso, los tokens de actualización, los ámbitos, las audiencias y las identificaciones de los clientes, me confundí cuando la documentación de Google OAuth me indicó quevalidar todos los tokens Con el fin de evitar el problema de diputado confundido.El artículo de Wikipedia vinculado a solo describe el problema general en un nivel alto, no específico de OAuth o incluso de autenticación de red. Si lo comprendo correctamente, la validación del token ni siquiera forma parte de OAuth2, sino que realmente depende de la implementación específica. Ésta es mi pregunta:

¿Cómo y por qué se realiza la validación del token de Google OAuth?

Un ejemplo concreto del problema del diputado confundido en este contexto sería especialmente apreciado. También tenga en cuenta que pregunto esto en el contexto de las aplicaciones totalmente del lado del cliente, si eso hace una diferencia.