爲什麼OAuth 2.0中有2種不同的令牌？

似乎OAuth 2.0有兩種不同類型的標記。爲什麼OAuth 2.0中有2種不同的令牌？

1：訪問令牌
2：刷新令牌

按照谷歌文檔的「用於Python API客戶端庫：入門」 ......

當用戶授予您的應用程序訪問OAuth 2.0 授權服務器爲您的應用程序提供刷新並訪問令牌。這些令牌只對所請求的範圍有效。您的應用程序使用訪問令牌來授權API調用。訪問令牌到期，但刷新令牌不會。您的應用程序可以使用刷新令牌來獲取新的訪問令牌。

從表面上看，這聽起來像是不必要的複雜性。
簡單勝過複雜。
爲什麼我們需要2個？
由於必須管理2的額外複雜性而獲得了什麼？

2016-02-20 Alex Ryan

似乎這是一個重複的問題。

「刷新令牌的想法是，如果一個訪問令牌被攻破，因爲它是短暫的，攻擊者在濫用它在有限的窗口。

刷新令牌，如果受損，也沒用因爲攻擊者除了刷新令牌之外還需要客戶端ID和密碼才能獲得訪問令牌。「

2016-02-20 00:53:40

回答