Протокол авторизации OAuth 2.0 работает следующим образом: 2

1. Клиент запрашивает у пользователя доступ к его данным на ресурсном сервере. 2
2. Пользователь предоставляет доступ клиенту через сервер авторизации, войдя в приложение под своими учётными данными. 2 Однако они не передаются клиенту, вместо этого генерируется код авторизации, который отправляется напрямую клиенту. 2
3. Клиент использует этот код авторизации для запроса токена доступа от конечной точки, предоставленной сервером авторизации. 2
4. Сервер авторизации генерирует и возвращает токен доступа, который клиент может использовать для доступа к ресурсам пользователя на ресурсном сервере. 2
5. Клиент отправляет токен доступа на ресурсный сервер, чтобы запросить доступ к ресурсам пользователя. 2
6. Ресурсный сервер проверяет токен доступа на авторизационном сервере. 2 Если токен действителен, он предоставляет клиенту доступ к ресурсам пользователя. 2

В зависимости от бизнес-логики клиентского приложения последовательность шагов может меняться. 3