С аутентификацией OAuth2 вы не входите и не выходите из приложения. OAuth2 о делегировании разрешений с использованием токенов доступа. Существует также функция единого входа (SSO) в OpenID Connect (расширение OAuth2).
Таким образом, вы можете выйти из сеанса единого входа, что приведет к вводу учетных данных при следующем запросе /auth. Или вы можете отозвать токен , используемый клиентом. Но если у вас есть действующий SSO-сеанс на сервере аутентификации, клиент может запросить новый токен без ввода учетных данных.
Поэтому я думаю, что вам нужно изменить свои требования (для выхода из системы), чтобы они были совместимы с концепциями OAuth2 / OpenID Connect.