Есть приложение в котором реализовано API путем RESTful webservices на базе Spring MVC которые в свою очередь засекьюрены при помощи Spring Security и собственного OAuth2 сервера.

В данный момент для того что б с клиента получить доступ к секьюрной точке доступа необходимо сначала получить accessToken и предоставить его в заголовке своего запроса. accessToken в свою очередь присваивается пользователю после аутентификации в системе на базе username/password пользователя.

Для того что б стать пользователем системы необходимо создать аккаунт и получить username/password.

Для облегчения создания пользовательских аккаунтов в системе хотелось бы подключить стандартные OAuth провайдеры такие как Twitter, Facebook, Google и другие.

Я не могу понять как с архитектурной точки зрения увязать 3rdparty OAuth провайдеров в схему аутентификации которая реализована в приложении.. Например Facebook присваивает пользователю свой accessToken и передает мне его на сервер(путем вызова callback url). Что мне делать с этим токеном дальше ? На базе этого токена создавать свой accessToken и передавать его на клиент. В последствии когда с клиента прийдет этот accessToken я по нему найду accessToken созданный Facebook, проверю в Facebook или он еще валиден и если все ок то пропущу пользователя к засекреченному ресурсу ?

Как правильно увязать этот процесс на базе Spring Security и Spring Social ?