Защита REST API на платформе Play и OAuth2

Я разрабатываю приложение с Play 2.0 и Scala , которое предоставляет некоторый REST API. Эти API будут использоваться различными приложениями, веб, мобильными или настольными, поэтому протокол OAuth (OAuth2 )кажется наиболее подходящим.

Также я бы изначально использовал внешнего поставщика OAuth, такого как Facebook.

Мой вопрос: :каков точный процесс авторизации отдельного вызова REST? Что я должен ожидать на стороне сервера для каждого вызова и что я должен уточнить у внешнего провайдера?

С OAuth1 я знал, что клиент отправляет токен со всеми подписанными запросами, а с Oauth2 я думаю, что не так, я представляю, что если токен не подписан, то ему не доверяют, и поэтому я не думаю, что это поток.