Правильно ли я понимаю принцип работы oauth2 в cxf?

Question

[nuclear_kote]

Согласно этой документации cxf.apache.org/docs/jax-rs-oauth2.html пользователь должен быть сначала аутентифицирован, потом получить access_token через AccessTokenService.

Правильно ли я понимаю что в случае микросервисов нужно написать сервис который сначала будет аутентифицировать например сервлетом или Basic аутентификацией, потом клиент лезет на адрес AccessTokenService получает access_token и с этим acess_token'ом уже обращается ко всем остальным микросервисам которые требуют ограничения доступа, которые будут фильтром проверять этот access_token на правильность?

И второй вопрос: для чего существует grant_type=password? Вроде как там передаются логин и пароль пользователя. Заменяет ли он собой отельный сервлет (или что то подобное) для аутентификации?