Ответ 1
В основном, токены обновления используются для получения нового токена доступа.
Чтобы четко различать эти два токена и избегать путаницы, вот их функции, приведенные в The OAuth 2.0 Authorization Framework:
- Токены доступа выдаются сторонним клиентам сервером авторизации с одобрения владельца ресурса. Клиент использует токен доступа для доступа к защищенным ресурсам, размещенным на сервере ресурсов.
- Обновить токены - это учетные данные, используемые для получения токенов доступа. Обновить токены выдаются клиенту сервером авторизации и используются для получения нового токена доступа, когда токен доступа становится недействительным или истекает, или для получения дополнительных токенов доступа с одинаковой или более узкой областью.
Теперь, чтобы ответить на ваш вопрос о том, почему вы все еще выдавали токен обновления вместо того, чтобы просто защищать токен доступа, основная причина, предоставляемая инструментами Internet Engineering Task Force в токенах Refresh:
Существует причина безопасности,
refresh_tokenтолько обменивается с сервером авторизации, тогда какaccess_tokenобменивается с серверами ресурсов. Это уменьшает риск длительного использования access_token в "токене доступа" в течение часа, с токеном обновления в течение года или с отменой "до" отзыва "против" токена доступа, который отменяется без обновления лексема ".
Для получения более подробной и полной информации об OAuth 2.0 Flow, пожалуйста, попробуйте следующие ссылки:
- OAuth 2.0 Flow: серверные веб-приложения
- Система авторизации OAuth 2.0, выпущенная Целевой группой Internet Engineering Task Force (IETF)
- SO post - Почему OAuth v2 имеет доступ и токены обновления?