Między tokenami dostępu, tokenami odświeżania, zakresami, odbiorcami i identyfikatorami klientów byłem zdezorientowany, gdy dokumentacja Google OAuth poleciła misprawdź wszystkie żetony w celu uniknięcia pomieszanego problemu zastępcy.Artykuł związany z Wikipedią opisuje ogólny problem tylko na wysokim poziomie, nie specyficznym dla uwierzytelniania OAuth lub nawet sieciowego. Jeśli dobrze to rozumiem, sprawdzanie poprawności tokenu nie jest nawet częścią OAuth2, ale w rzeczywistości zależy od konkretnej implementacji. Oto moje pytanie:

W jaki sposób i dlaczego sprawdzane jest token Google OAuth?

Szczególnie doceniony zostałby konkretny przykład pomieszanego problemu zastępcy w tym kontekście. Zauważ również, że pytam o to w kontekście aplikacji całkowicie po stronie klienta, jeśli to ma znaczenie.