2015 年 11 月更新： 根据下面的 Hans Z. - 这现在确实被定义为RFC 7662的一部分。

原始答案： OAuth 2.0 规范 ( RFC 6749 )
没有明确定义资源服务器 (RS) 和授权服务器 (AS) 之间用于访问令牌 (AT) 验证的交互。这实际上取决于 AS 的令牌格式/策略 -
一些令牌是自包含的（如JSON Web 令牌），而其他令牌可能类似于会话
cookie，因为它们只是引用保存在 AS 的服务器端的信息。

OAuth 工作组中已经讨论了一些关于为 RS 与 AS 通信以进行 AT
验证创建标准方式的讨论。我的公司（Ping Identity）为我们的商业 OAuth AS（PingFederate）提出了一种这样的方法： https:
//support.pingidentity.com/s/document-
item?
bundleId=pingfederate-93&topicId=lzn1564003025072.html#lzn1564003025072__section_N10578_N1002A_N10001
。它为此使用基于 REST 的交互，这与 OAuth 2.0 非常互补。