access_token VS refresh_token
access_token
访问令牌, 它是一个用来访问受保护资源的凭证
refresh_token
刷新令牌, 它是一个用来获取access token的凭证
这两个令牌的主要区别如下
- access_token 时效短, refresh_token 时效长, 比如 access_token 有效期1个小时, refresh_token 有效期1天
- access_token 是授权服务器一定颁发的, 而 refresh_token 却是可选的
- access_token 过期后, 可以使用 refresh_token 重新获取, 而 refresh_token 过期后就只能重新授权了, 也没有 refresh_refresh_token
- access_token 和 资源服务器和授权服务器交互, 而 refresh_token 只和 授权服务器交互
- access_token 颁发后可以直接使用, 而使用 refresh_token 需要客户端秘钥 client_secret