本地存储access token和限制设备问题

问题1:访问资源
问题2:多端多设备

注册authing后,看了openid的相关文档。大体流程了解了。
我是想咨询两个问题

问题1:访问资源权限问题

假设用户为A,应用为B,授权服务器为C,资源服务器为D。D有关系性设置,比如用户A的财务流水数据。

根据文档,A发起授权,登录到C,C返回code给B,通过code换到access token和ID TOKEN,那么我的问题是这个access token和ID TOKEN要返回给用户A吗?
如果不返回给A,那么资源服务器D的访问也需要权限,A怎么怎么访问自己的财务流水?
如果返回 access token和ID TOKEN,将信息保存到本地浏览器,那这样好像也不安全,失去了oauth的初衷?
一般这种情况是如何解决的?

问题2:jwtToken本地验证的,如何控制,比如网页端,只能同时3个有效的设备在线,安卓APP端,只能同时一个设备在线,请问这种策略怎么设置?