구글 로그인 구현시에 구글 토큰 검증은 어떤 방식으로 하나요?

구글 로그인을 구현할 때의 절차가 다음과 같은 것으로 알고 있습니다. 프론트에서 구글 로그인 요청 -> 로그인 성공 -> 구글에서 토큰 반환 -> 구글 토큰을 백엔드로 전송 -> 백엔드에서 구글 토큰을 통해 서비스에서 사용할 토큰, 리프레스 토큰 생성 -> 프론트로 토큰 반환 (틀린 부분이 있다면 정정 부탁드립니다!) 이 과정 중 프론트에서 구글 토큰을 백엔드로 보낸 뒤 구글 토큰의 검증은 보통 어떤 방식으로 하는건가요? 만약 보낸 토큰이 유효하지 않다면 서비스 토큰을 생성하지 않아야 하는데 어떤 식으로 검증하는지 궁금합니다!

로그인용 액세스 토큰은 어디에 저장하는 것이 좋나요?

제곧내입니다.. 로그인용 액세스 토큰을 어디에 저장해야 좋을지 궁금해요! - 로컬 스토리지에 저장해도 괜찮나요? 탈취에 대한 위험이 있다고 하는데 어느 정도의 리스크인지 궁금합니다! - 쿠키에 넣는 것이 좋다는 의견도 있는데 쿠키에 저장하면 어떤 부분이 좋은가요? - 둘 다 보안 수준은 좋지 않은가요..? 보안이 중요한 프로젝트는 아니지만 혹시 다른 방법이 있으면 추천 부탁드립니다! 감사합니다 ㅠㅠ