oauth 관련 질문 있어요.

 안녕하세요. 강의 잘 듣고 있습니다.

user - service - google가 있다고 했을 때,
user가 oauth code grant방식으로 login을 하면 service가 callback을 통해 code를 받게되고, 그 정보와 다른 정보를 조합하여 google로 부터 access token과 refresh token을 받아올텐데요.

여기서 token을 어떤식으로 처리하는지 궁금합니다.

service가 google로 부터 받은 token들을 app으로 전달하는 건가요? 그렇다면 app은 token이 만료되면 google에 직접 토큰을 다시 요청하는걸까요? 아니면 service를 통해 relay를 해서 토큰을 다시 요청할까요?
service는 token이 올바른건지는 검증할 수 없으니 db에 저장을 해 두고 나중에 같은 토큰을 user로부터 받았을때 같은지 비교해서 허용할 지 말지 알 수 있을거 같은데 이렇게 하는건가요?

아니면 service가 직접 새로운 토큰들을 생성해서 관리하는게 좋을까요?

그리고 public app에서 보안을 더 강화하기 위해 pkce방식도 쓰는거 같던데 실제 많이 쓰시는지 궁금하네요.

답변 부탁드립니다.
감사합니다.