アバターyakumo

1に関しては部分的な回答しづらく OAuth 2.0 の仕組みを勉強いただくのが良いと思います。
OAuth 2.0 に関しては、
https://authya.booth.pm/items/1296585

こちらの書籍が個人的には気に入ってますが、
Web 等で調べて頂いても良いと思います。

2. はアプリケーションによるかと思います。
なので 1 で OAuth を理解いただき、アプリのシステム設計して決めると良いかと感じます。