access_token VS refresh_token

access_token

访问令牌, 它是一个用来访问受保护资源的凭证

refresh_token

刷新令牌, 它是一个用来获取access token的凭证

这两个令牌的主要区别如下

  • access_token 时效短, refresh_token 时效长, 比如 access_token 有效期1个小时, refresh_token 有效期1天
  • access_token 是授权服务器一定颁发的, 而 refresh_token 却是可选的
  • access_token 过期后, 可以使用 refresh_token 重新获取, 而 refresh_token 过期后就只能重新授权了, 也没有 refresh_refresh_token
  • access_token 和 资源服务器和授权服务器交互, 而 refresh_token 只和 授权服务器交互
  • access_token 颁发后可以直接使用, 而使用 refresh_token 需要客户端秘钥 client_secret