Problem ze zrozumieniem oAuth2

Cześć,
Pracuję obecnie nad bardziej zaawansowaną aplikacją Front (React) + API (Java & Spring) dla zabawy/nauki. Chciałbym zrobić authoryzację użytkownika poprzez oAuth2 na początku tylko Google. Ale mam problem ze zrozumieniem koncepcji. Czy to front powinien uderzać do googlea i przy komunikacji z api używać przykładowo adresu email do rozpoznawania użytkownika. Czy może api powinno mieć endpoint (np /login/oAuth2/google) i to backend powinien odpowiadać za ten process, a front tylko dostaje w odpowiedzi token.

Mógłby ktoś rozjaśnić temat ?

Tu jest moim zdaniem (prawie) wszystko ładnie wyjaśnione:

Na ogólnym poziomie to działa tak, że klient (twoje OPA) rozpoczyna proces uwierzytelniania z dostawcą tożsamości (np. Google). Efektem tego procesu jest "elektroniczny dowód osobisty", który załączasz do każdego żądania skierowanego do wymagającego uwierzytelniania zasobu (backendu). Backend wie jak sprawdzić, czy ten "dowód osobisty" jest prawdziwy i jeżeli tak, to wpuszcza cię do środka.
W powyższym pominąłem autoryzację, czyli potwierdzenie, że konkretny użytkownik ma prawo wykonać jakąś akcję na chronionym zasobie.