O cliente inseriu suas credenciais e o servidor de autorização é responsável por validar as informações fornecidas pelo cliente, assim como, caso essa etapa seja válida, na etapa seguinte será verificada a validade do seu respectivo token e posteriormente realiza o débito na conta.
Olá Jordan,
O processo de validação do token é importante para garantir que somente usuários autorizados possam acessar os recursos protegidos pelo sistema. E, como você mencionou, após a validação do token, é possível realizar ações como débito em conta, por exemplo.
É importante lembrar que o OAuth é um protocolo de autorização e não de autenticação. Ou seja, ele não é responsável por validar as credenciais do usuário, mas sim por autorizar o acesso a recursos protegidos.
Espero ter ajudado a esclarecer suas dúvidas. Se tiver mais alguma pergunta, é só perguntar!
Espero ter ajudado e bons estudos!