客户端应用程序滥用OAuth 2.0令牌

我试图理解OpenID/OAuth 2.0上下文中的令牌滥用场景

在

grant\u type=authorization\u code

场景中，成功的用户授权后，客户端应用程序可以使用访问令牌和刷新令牌。令牌刷新使客户端应用程序能够轻松地在几乎无限长的时间内继续使用用户资源

客户端应用程序是否可以限制访问和刷新令牌的使用？

---

场景：用户希望仅在关闭浏览器之前授权客户端应用程序访问资源。此后令牌应失效。

对于此类控制，用户完全取决于身份提供程序的实现方式。可以以这种方式实现身份提供者，例如，它可以在同意屏幕上询问用户身份验证会话何时到期。然而，我从未见过这样的实现。一些身份提供者允许手动撤销已颁发的令牌，但这通常隐藏在身份提供者站点的深度导航后面