Ну, oauth2-сервер, ясное дело, может в БД залезть. А вот приложение доступа к базе не имеет. Приложению доступны localstorage, cookie и, может быть, session. Ну, чисто теоретически, можно поставить memcache. И то, не очень бы хотелось приложение привязывать к бэкэнду. Т.е. по сути имеем для хранения/получения информации: локальное хранилище, куки и запросы к API, пока действует токен доступа.
Чтобы не спрашивать пароль снова и снова - я храню в сессии access_token. Однако, любой пользователь с этой сессионной кукой получит доступ к access_token. А если там же хранить еще и refresh_token - пользователь получает нелимитированный по времени доступ к API. Что в общем-то не очень хорошо.
