(a) : 위의 그림은 resource owner에게 직접적으로 권한 요청을 하지만, authorization server에 간접적으로 권한 요청을 하는게 권장된다.
(b) : authorization server는 클라이언트의 권한 부여(authorization grant)를 확인하고 access token을 발행한다. (관련 용어를 보면, 확인하는 과정에서 resource owner에게 유효성 검사 요청을 하는 것 같다. 유효하면, resource owner에게 받은 토큰 발행)
(c) : 클라이언트는 access token을 사용해 보호된 자원을 요청한다. resource server는 access token이 유효하면 자원을 제공한다.
출처
https://datatracker.ietf.org/doc/html/rfc6749#section-4.1
https://ko.wikipedia.org/wiki/OAuth