Как формируется access токен

Всем здравствуйте. Начал разбираться с тем, как работает Oauth2. Я понял, что пользователь проходит аутентификацию, например для входа в свой аккаунт электронной почты, и получает access токен, далее этот токен используется для авторизации при каждом запросе. Далее пользователь хочет поделиться , например, списком своих контактов со сторонним сервисом, для чего согласно Oauth с согласия пользователя стороннему сервису отправляется ранее полученный access токен для доступа к определенным ресурса пользователя. Насколько я понял это работает примерно так. И соответственно вопрос - если пользователь отправляет свой access токен стороннему приложению, то это приложение получит доступ ко всем ресурсам доступным самому пользователю, понятно что так не должны быть, поэтому пользователь сам может выбрать какие данные он может передавать сторонним сервисам, и на основе этих разрешений генерируется access токен. Тогда получается что access токенов должно быть два? Один для самого пользователя , а второй для сторонних сервисов? Я не смог сам найти ответ на этот вопрос, везде говорится про scope, но про количество токенов я не смог найти информацию, везде написано что должен быть один, но тогда ,значит, что я чего-то не понимаю