只使用访问令牌比同时使用访问令牌和刷新令牌风险大得多。

例如，您只使用访问令牌设置“100天”有效期，但一天，访问令牌被黑客窃取。现在，黑客有很大的机会自由使用访问令牌100天，作为一个坏的目的。

现在，您使用访问令牌集“60分钟”到期日期和刷新令牌集“100天”到期日期，但有一天，访问令牌被黑客窃取。现在，黑客自由使用访问令牌的机会要小得多，最多只能使用60分钟。

现在，您会认为刷新令牌是否被盗。实际上，如果刷新令牌被黑客窃取，黑客仍然有很大的机会免费使用刷新令牌，最多100天用于不良目的。但是，刷新令牌被盗的概率远低于访问令牌被盗的概率，因为刷新令牌每60分钟才使用一次来刷新访问令牌(以获得新的访问令牌)，而访问令牌则在每次访问资源时使用，这要频繁得多。

因此，您最好同时使用访问令牌和刷新令牌。

这是一次很好的学习经历，了解了令牌、刷新令牌和缓存它。然而，(我很好奇，我在这里不给出任何建议)我们可以使用用户登录后返回的代码，当使用微软身份平台时。我们是否可以只存储CodeIdToken，并在需要时使用它来获取新的访问令牌?因为我在想，我们用它来获得访问令牌，那么我们应该每次都用来重新生成访问令牌吗?

 ...
 ResponseType = OpenIdConnectResponseType.CodeIdToken,
...

and

private async Task OnAuthorizationCodeReceived(AuthorizationCodeReceivedNotification context)
    {
        IConfidentialClientApplication clientApp = MsalAppBuilder.BuildConfidentialClientApplication();
        AuthenticationResult result = await clientApp.AcquireTokenByAuthorizationCode(new[] { "User.Read" }, context.Code)
          .ExecuteAsync();
    }
    

基本上，刷新令牌用于获取新的访问令牌。

为了清楚地区分这两个令牌并避免混淆，以下是OAuth 2.0授权框架中给出的它们的功能:

Access tokens are issued to third-party clients by an authorization server with the approval of the resource owner. The client uses the access token to access the protected resources hosted by the resource server. Refresh Tokens are credentials used to obtain access tokens. Refresh tokens are issued to the client by the authorization server and are used to obtain a new access token when the current access token becomes invalid or expires, or to obtain additional access tokens with identical or narrower scope.

现在，为了回答你的问题，为什么你仍然被发出一个刷新令牌，而不仅仅是保护一个访问令牌，互联网工程任务组在刷新令牌中提供的主要原因是:

出于安全原因，refresh_token只与授权服务器交换，而access_token则与资源服务器交换。这降低了在“一个访问令牌可以持续一小时，有一个刷新令牌可以持续一年或直到被撤销”和“一个访问令牌可以持续到被撤销而没有刷新令牌”之间存在的长期access_token泄漏的风险。

有关OAuth 2.0流程的更详细和完整的信息，请尝试阅读以下参考资料:

OAuth 2.0流程:服务器端web应用程序 IETF (Internet Engineering Task Force)发布的OAuth 2.0授权框架 为什么OAuth v2同时拥有访问和刷新令牌?

@Teyam提到SO帖子为什么OAuth v2同时拥有访问和刷新令牌?但我更喜欢另一个答案:https://stackoverflow.com/a/12885823/254109

DR refresh_token不会增加安全性。它的目的是提高可伸缩性和性能。然后，access_token可以存储在一些快速的临时存储中(如内存)。它还允许授权和资源服务器分离。

refresh_token模式使OAuth服务器处于控制状态，因此当发生不好的事情(如access_token和refresh_token泄露)时，服务器可以进行干预。

e.g.

如果access_token和refresh_token落入黑客手中，access_token将很快过期，黑客可能会尝试刷新令牌，但服务器现在有能力/控制不再发出access_token(考虑到服务器获得了泄漏信息)。

access_token使用得更频繁，撤消的能力不是很重要，因为它们的生命周期很短。

refresh_token使用的频率较低，撤消的能力至关重要，因为它们可以用来生成新的access_token。

验证已签名令牌的成本较低，但撤销令牌很困难。

验证存储在数据库中的令牌的成本很高，但很容易撤销。

因此，签名密钥可以用作access_token来提高性能。

Db存储的键可以作为refresh_token使用，以便于撤销它们。

如果没有refresh_token，就很难找到一种提供低成本验证和简单撤销能力的机制。因此refresh_token的存在是由于性能原因。