Что дальше после авторизации через oauth2?

Создаю web приложение, где необходимо распределение прав доступа.

Для начала нужно юзеру же пройти идентификацию, аутентификацию и авторизацию, если все ок - провайдер, например, google oauth2 дает токены, id, email, username и.т.д. и на этом авторизация завершена.

А что дальше делать с этими данными? Самое полезное это id чтобы знать кто ты есть, а токены по факту чтоб только посылать запросы к google. Как следить за тем, что доступ у юзера все еще имеется, регулярно посылать запросы? К тому же может быть такое, что юзер в аккаунте google отзовет доступ к приложению, как приложение должно об этом узнать, опять же регулярно опрашивать?

То есть суть моего вопроса, что дальше после авторизации, ведь этот этап ток дает доступ, а не следит за ним?