OAuth2：使用访问令牌

Question

关于发布访问令牌，我还很陌生，我想知道你们中的任何一个都可以帮助我解决我的问题。

仅在服务器端使用访问令牌是否被视为最佳实践？我看到了一个授权流程的教程，其中这个人正在通过URL中的哈希（＃）传递令牌，但这似乎并不安全，因为它可供用户使用。

另一方面，您如何管理访问令牌的使用？我可以想到两种方法。

1. 将访问令牌传递给客户端，并使用加密的cookie存储它，因为我读到不建议使用localStorage。
2. 仅在服务器端使用访问令牌，然后从客户端调用API端点。因此，可以在服务器端管理所有数据，并将“最终结果”返回给客户端。

这个问题有点新手，但我很想阅读您的意见。如果您可以分享您认为可能会有帮助的任何资源（视频，书籍，博客），我也将不胜感激。

预先感谢