После успешной аутнентификации на стороннем сервисе, как клиент должен получить токен для доступа к серверу ресурсов?

На собственном сервере ресурсов (Spring) для аутентификации пользователя используется сторонние сервисы (google, vk, yandex). Весь процесc аутентификации проходит на сервере. После получения idToken и аутентификации пользователя, есть 2 непонятных момента:

1. Как клиент должен получить авторизационый токен для дальнейшего взаимодействия с api?
2. Где следует хранить refresh token на сервере?