No padrão OAuth 2.0, a respeito de tokens do tipo Bearer, é correto afirmar que

não apresentam a possibilidade de expirar após um intervalo de tempo e, portanto, não são considerados seguros.

são encriptados por si só e, portanto, o uso de TLS é dispensável em requisições que acessam recursos protegidos, conforme RFC 6750.

baseiam-se em um Message Authentication Code (MAC) criptográfico computado com elementos da requisição ao recurso protegido, sendo enviado no próprio cabeçalho HTTP.

consistem em strings no formato usuário:senha codificados em Base64.

qualquer um que possua o token pode utilizá-lo para acessar recursos protegidos, desde que ele seja válido, sem precisar provar a posse de uma chave criptográfica.