ОАут 2.0. Нет сеанса? (лица без гражданства)

Я собираюсь реализовать OAuth 2.0 и REST API с ним

для предоставления различных разрешений для пользователей, а также для хорошего масштабирования.

Для хорошего масштабирования без гражданства проще, потому что

НЕТ файла, базы данных, в -памяти на основе сеанса с ним.

Ниже показано, как я понимаю OAuth 2.

1. Сервер OAuth предоставляет пользователю токен доступа.
2. Маркер доступа пользователя хранится в файле cookie.
3. Когда пользователь получает доступ к REST API, пользователь отправляет токен доступа.
4. Сервер получает запрос с токеном доступа.
5. Сервер выясняет, действителен ли токен доступа и есть ли у пользователя разрешение на выполнение запроса.
6. Выполнить или отклонить в зависимости от привилегий пользователя.

Поэтому мне не нужно беспокоиться о хранилище сеансов. Верно?