Respuesta corta: Sí, para OAuth2: quien tenga un access_token válido tendrá acceso a los recursos designados por ese token. Por cuánto tiempo depende de OAuth2 la implementación del proveedor.
Respuesta larga, tanto sobre OAuth1 y 2:
Cuando se trata de OAuth 1un token de acceso no es suficiente. También necesitaría el token de acceso secreto y también la clave del consumidor y el secreto. Todavía es bueno mantener los tokens de acceso confidenciales, y limitar su alcance y tiempo de validez, pero no puede usar el token de acceso sin secretos de clientes y tokens. OAuth 1 no requiere que use SSL, porque la criptografía está integrada en la especificación.
OAuth 2 es posiblemente más importante que los tokens de acceso se mantengan confidenciales. Por lo tanto, el proveedor de API debe garantizar que los tokens de acceso, que en OAuth2 también se conocen como tokens de portador, sean válidos solo durante el menor tiempo posible. Estos tokens funcionan como contraseñas, y si son interceptados pueden ser utilizados inmediatamente por un atacante. Por lo tanto, la especificación OAuth2 (con token de portador) requiere que toda la comunicación se realice a través de SSL, ya que no se incorpora ninguna criptografía en la especificación. Típicamente, los tokens de acceso tienen una validez corta, que se puede actualizar con un "token de actualización" que tiene una validez más larga pero solo se transfiere cuando el consumidor recibe el token de portador inicial y cuando se actualiza un token de portador.
Debe aclarar si se refiere a OAuth 1 u OAuth 2. La versión 1 del protocolo utiliza un secreto compartido, el secreto de token, que nunca se transfiere a través del cable. Por lo tanto, robar un token de acceso es como robar una clave sin una llave. No se ajustará a ningún candado. – Matthias
Estaba leyendo sobre oAuth 2 y me pregunto lo mismo. Ojalá hubiera una respuesta aquí ... bueno ... la búsqueda continúa. – Aishwar