При использовании OAuth заголовок Authorization используется для отправки веб-токена JSON (jwt).
Этот токен является результатом процесса аутентификации и содержит данные пользователя, такие как имя пользователя, отправитель токен и роли типа админ. Он никогда не должен содержать конфиденциальные данные, такие как пароль. Кроме того, токен подписан эмитентом с помощью ключа rsa.
Spring использует этот токен для авторизации. Подпись проверена, поэтому никто не может претендовать на роли, создав поддельный токен. Например, роли могут быть использованы для предоставления / запрета доступа к определенным методам.
В этой статье показан пример приложения, которое может помочь вам понять концепцию: https://www.baeldung.com/rest-api-spring-oauth2-angular