在OAuth 2.0中，纯资源服务器的职责是什么？

Question

我们正在构建一个“纯”资源服务器。 “纯粹”是指我们的数据都不是用户特定的，而且只会被称为我的其他程序，没有用户交互（即通过cron作业），只有一个用户没有公共访问权限。关于OAuth 2.0的大多数教程都详细介绍了有关客户端凭据方案的详细信息，更不用说像这样的了。

对于“纯”资源服务器的示例，您可以考虑控制办公楼中灯光（打开或关闭）的REST Web服务。

那么，在OAuth 2.0中，这种资源服务器的职责是什么？

根据我的理解，它必须：

1. 检查是否存在持票人令牌。
2. 如果存在令牌，则验证令牌
3. 验证要求
   1. 请求幕后授权服务器验证它，或者使用JWT：
   2. 解压缩令牌
   3. （如果有）检查签名/ MAC匹配
   4. （如果存在）资源列在观众中
   5. （如果有）检查令牌是否已过期
4. 如果令牌有效则允许呼叫呼叫，否则使用403和消息进行响应

所以，我有三个问题。

1. 以上是正确的吗？
2. 当您知道所有客户端都不是浏览器时，返回302重定向是否有任何意义？