Здравствуйте,

Проектирую клиент/серверную систему с авторизацией OAuth 2.0 стандарта(Google exp OAuth 2.0).
Процесс авторизации для сервера происходит так:
1. Получаем токен код гугл сервера
2. Обмениваем токен код на токен доступа и токен обновления токена доступа
3. Токен обновления шифруется и сохраняется на сервере
4. Токен доступа отдаеться клиенту на общеклиентские нужды

Корректно ли использовать токен код(шаг 1) как кукис для клиента и основной ключ юзера в бд на сервере?
После обмена токен кода на 2 токена(шаг 2) он становиться не валидным.

Прошу, прощения за такие вопросы, я новичек в проектировании кл/серв систем с авторизацией. Возможно, также, что вопрос задан не в той ветке, перенесите куда правильно.