@Teyam提到SO帖子为什么OAuth v2同时拥有访问和刷新令牌?但我更喜欢另一个答案:https://stackoverflow.com/a/12885823/254109

DR refresh_token不会增加安全性。它的目的是提高可伸缩性和性能。然后，access_token可以存储在一些快速的临时存储中(如内存)。它还允许授权和资源服务器分离。

只使用访问令牌比同时使用访问令牌和刷新令牌风险大得多。

例如，您只使用访问令牌设置“100天”有效期，但一天，访问令牌被黑客窃取。现在，黑客有很大的机会自由使用访问令牌100天，作为一个坏的目的。

现在，您使用访问令牌集“60分钟”到期日期和刷新令牌集“100天”到期日期，但有一天，访问令牌被黑客窃取。现在，黑客自由使用访问令牌的机会要小得多，最多只能使用60分钟。

现在，您会认为刷新令牌是否被盗。实际上，如果刷新令牌被黑客窃取，黑客仍然有很大的机会免费使用刷新令牌，最多100天用于不良目的。但是，刷新令牌被盗的概率远低于访问令牌被盗的概率，因为刷新令牌每60分钟才使用一次来刷新访问令牌(以获得新的访问令牌)，而访问令牌则在每次访问资源时使用，这要频繁得多。

因此，您最好同时使用访问令牌和刷新令牌。

下面是OAuth 2.0文档中的信息。

刷新令牌用于在当前访问令牌失效或过期时获取新的访问令牌，或获取具有相同或更窄范围的其他访问令牌(访问令牌的生命周期可能比资源所有者授权的权限更短)。

  +--------+                                           +---------------+
  |        |--(A)------- Authorization Grant --------->|               |
  |        |                                           |               |
  |        |<-(B)----------- Access Token -------------|               |
  |        |               & Refresh Token             |               |
  |        |                                           |               |
  |        |                            +----------+   |               |
  |        |--(C)---- Access Token ---->|          |   |               |
  |        |                            |          |   |               |
  |        |<-(D)- Protected Resource --| Resource |   | Authorization |
  | Client |                            |  Server  |   |     Server    |
  |        |--(E)---- Access Token ---->|          |   |               |
  |        |                            |          |   |               |
  |        |<-(F)- Invalid Token Error -|          |   |               |
  |        |                            +----------+   |               |
  |        |                                           |               |
  |        |--(G)----------- Refresh Token ----------->|               |
  |        |                                           |               |
  |        |<-(H)----------- Access Token -------------|               |
  +--------+           & Optional Refresh Token        +---------------+

(A)客户端通过认证请求访问令牌 授权服务器和呈现授权授予。

(B)授权服务器对客户端进行身份验证和验证 授权授予，如果有效，则发出访问令牌 和一个刷新令牌。

(C)客户端向资源发出受保护资源请求 通过显示访问令牌来访问服务器。

(D)资源服务器验证访问令牌，如果有效， 为请求服务。

(E)步骤(C)和(D)重复直到访问令牌过期。如果 客户端知道访问令牌过期，则跳过步骤(G); 否则，它将发出另一个受保护资源请求。

(F)由于访问令牌无效，资源服务器返回 无效的令牌错误。

(G)客户端通过验证请求一个新的访问令牌 授权服务器和显示刷新令牌。的 客户端身份验证需求取决于客户端类型 以及授权服务器策略。

(H)授权服务器对客户端进行身份验证和验证 刷新令牌，如果有效，发出一个新的访问令牌(并且， 可选的，一个新的刷新令牌)。

这是一次很好的学习经历，了解了令牌、刷新令牌和缓存它。然而，(我很好奇，我在这里不给出任何建议)我们可以使用用户登录后返回的代码，当使用微软身份平台时。我们是否可以只存储CodeIdToken，并在需要时使用它来获取新的访问令牌?因为我在想，我们用它来获得访问令牌，那么我们应该每次都用来重新生成访问令牌吗?

 ...
 ResponseType = OpenIdConnectResponseType.CodeIdToken,
...

and

private async Task OnAuthorizationCodeReceived(AuthorizationCodeReceivedNotification context)
    {
        IConfidentialClientApplication clientApp = MsalAppBuilder.BuildConfidentialClientApplication();
        AuthenticationResult result = await clientApp.AcquireTokenByAuthorizationCode(new[] { "User.Read" }, context.Code)
          .ExecuteAsync();
    }
    

访问令牌生命周期短。一旦它过期，您需要一个新的访问令牌来访问受保护的资源。一种获取新访问令牌的方法是再次验证资源所有者并获得授权，然后获取访问令牌。然而，这很烦人。

这个问题可以用刷新令牌来解决。它的寿命很长。因此，您可以使用它来获得新的访问令牌，而无需与资源所有者交互。

好吧，你可能会想，用长寿命的代币来获得另一个短寿命的钥匙有什么意义呢?好吧，即使刷新令牌被破坏，攻击者也不能从中获取访问令牌。原因是攻击者需要客户端凭据以及刷新令牌。

因此，访问令牌的生命周期将很短(原因可以在其他答案中找到)，以提高安全性。为了避免资源所有者在访问令牌过期时感到厌烦，OAuth使用刷新令牌。

refresh_token模式使OAuth服务器处于控制状态，因此当发生不好的事情(如access_token和refresh_token泄露)时，服务器可以进行干预。

e.g.

如果access_token和refresh_token落入黑客手中，access_token将很快过期，黑客可能会尝试刷新令牌，但服务器现在有能力/控制不再发出access_token(考虑到服务器获得了泄漏信息)。