Превосходная статья по пониманию OpenID Connect: https://habr.com/ru/post/422765/

В данной статье в пункте 6 указано, что хранение токенов (access_token и refresh_token) в браузере не очень секьюрно, лучше это делать на уровне бэкенда. Но это требует сессию, к которой будут крепится токены.

Сессия хранится в Cookie, Cookie передаются во всех запросах к одному хосту, даже с других сайтов, поэтому нужно защить запросы еще CSRF-токеном.

Также сессии нужно передавать между бэкендами для балансировки нагрузки.

Сессии хранятся в памяти, поэтому большое кол-во пользователей может исчерпать память.