Токены привязаны к данной услуге и пользователю.С их помощью можно претендовать на роль этого пользователя.Например, он не привязан к какому-либо IP-адресу или UUID устройства (хотя это можно сделать в качестве дополнительной меры предосторожности, но это не является частью OAuth).
Если бы они были скомпрометированы, вы бы деавторизовали их, сделав их бесполезными.
Могут ли они быть использованы с разными API и секретными ключами?
Нет.Маркер доступа также привязан к приложению, для которого он был выдан.
Таким образом, пользователь может отменить авторизацию для каждого отдельного приложения, и каждое приложение может иметь различный набор разрешений (например, только для чтения).доступ).