5.2. 访问令牌验证

在接收到访问令牌后，资源服务器必须检查访问令牌尚未过期、被授权访问请求的资源、在合适的范围下被颁发，并且满足了资源服务器关于访问受保护资源的其它策略要求。

访问令牌大体上分为两类：引用令牌或自编码令牌。引用令牌可以通过询问授权服务器，或者在令牌数据库中查找令牌，以被验证。而自编码令牌则在加密或签名的字符串中包含了授权信息，并且后者可以被资源服务器提取。

令牌检查 [RFC7662] 定义了一种标准化方法，用于查询授权服务器，并检查访问令牌的有效性。