让我们考虑一个系统，其中每个用户链接到一个或多个角色，每个角色链接到一种或多种访问权限。可以缓存这些信息以获得更好的API性能。但是，用户和角色配置可能会发生变化（例如，可能会授予新的访问权限，或者可能会撤销当前的访问权限），这些都应该反映在缓存中。

我们可以为此目的使用访问和刷新令牌。当使用访问令牌调用API时，资源服务器检查缓存的访问权限。如果有任何新的访问许可，则不会立即反映。一旦访问令牌过期（例如在30分钟内）并且客户端使用刷新令牌生成新的访问令牌，就可以使用来自DB的更新的用户访问权限信息来更新缓存。

换句话说，我们可以将昂贵的操作从使用访问令牌的每次API调用转移到使用刷新令牌生成访问令牌的事件。

刷新令牌和访问令牌只是术语。

这个小小的类比可以帮助巩固使用访问令牌和刷新令牌背后的理论基础：

假设Alice通过邮寄给Bob一张支票，该支票可以在出票后1小时内兑现（假设），否则银行不会兑现。但Alice还在给银行的邮件中附上了一张纸条，要求银行接受并兑现支票，以防支票延迟（在规定范围内）

当Bob收到这张支票时，如果他看到这张支票被篡改（令牌篡改），他将自己丢弃这张支票。如果没有，他可以把它拿到银行兑现。在这里，当银行注意到发行时间超过了1小时的时限，但看到Alice的签名通知，要求银行在规定的延迟范围内兑现。

看到这张纸条后，银行会尝试验证签名的消息，并检查Alice是否仍然具有正确的权限。如果是，银行将支票兑现。鲍勃现在可以向爱丽丝承认这一点了。

虽然不是非常准确，但这个类比可以帮助您注意到处理事务所涉及的不同部分：

Alice（发件人-客户）Bob（接收者-资源服务器）银行（授权服务器）验证过程（数据库访问）支票（访问令牌）备注（刷新令牌）

主要是，为了优化可伸缩性，我们希望减少对Auth Server以及最终对数据库的API调用次数。我们需要在方便和安全之间取得适当的平衡。

注意：与链中的资源服务器相比，让Auth服务器更早地响应请求当然更常见。

尽管上面的答案很好，但我作为一名安全硕士生和程序员，在研究买家保护和欺诈时，曾在eBay工作过，可以说，将访问令牌和刷新令牌分开，在骚扰频繁输入用户名/密码的用户和保留撤销对可能滥用您服务的访问权限之间取得了最佳平衡。

想象一下这样的情景。您向用户发出3600秒的访问令牌，刷新令牌的时间长达一天。

用户是一个好用户，他在家里，上下你的网站，在他的iPhone上购物和搜索。他的IP地址不会改变，并且服务器负载很低。像每分钟3-5页的请求。当他在访问令牌上的3600秒结束时，他需要一个具有刷新令牌的新令牌。在服务器端，我们检查他的活动历史和IP地址，认为他是一个人，行为举止得体。我们授予他一个新的访问令牌以继续使用我们的服务。用户不需要再次输入用户名/密码，直到达到刷新令牌本身的一天寿命。用户是一个粗心大意的用户。他住在美国纽约，病毒程序被关闭，在波兰被黑客入侵。当黑客获得访问令牌和刷新令牌时，他试图模拟用户并使用我们的服务。但是，在短暂的实时访问令牌过期后，当黑客试图刷新访问令牌时，我们在服务器上注意到用户行为历史中的IP发生了巨大变化（嘿，这家伙在美国登录，现在在波兰仅3600秒后刷新访问）。我们终止刷新过程，使刷新令牌本身无效，并提示再次输入用户名/密码。该用户是恶意用户。他打算通过使用机器人每分钟调用1000次我们的API来滥用我们的服务。直到3600秒后，当他试图刷新访问令牌时，我们注意到他的行为，认为他可能不是人类。我们拒绝并终止刷新过程，并要求他再次输入用户名/密码。这可能会破坏他的机器人的自动流动。至少让他不舒服。

当我们试图平衡我们的工作、用户体验和被盗令牌的潜在风险时，您可以看到刷新令牌的表现非常完美。服务器端的看门狗不仅可以检查IP更改，还可以检查api调用的频率，以确定用户是否应该是一个好用户。

另一个词是，您还可以尝试通过在每个api调用上实现基本IP看门狗或任何其他措施来限制被盗令牌/滥用服务的损害控制。但这很昂贵，因为您必须读取和写入有关用户的记录，并且会降低服务器响应速度。

这些答案都没有找到刷新令牌存在的核心原因。显然，您总是可以通过将客户端凭据发送到身份验证服务器来获得新的访问令牌/刷新令牌对——这就是您首先获得它们的方式。

因此，刷新令牌的唯一目的是限制通过网络发送到身份验证服务的客户端凭据的使用。访问令牌的TTL越短，就越需要使用客户端凭据来获取新的访问令牌，因此攻击者就越有机会破坏客户端凭据（尽管如果使用非对称加密发送客户端凭据，这可能非常困难）。因此，如果您有一个一次性刷新令牌，您可以使访问令牌的TTL任意小，而不影响客户端凭据。

客户可以通过多种方式受到损害。例如，可以克隆手机。访问令牌过期意味着客户端被迫重新向授权服务器进行身份验证。在重新认证期间，授权服务器可以检查其他特征（IOW执行自适应访问管理）。

刷新令牌允许仅客户端进行重新身份验证，其中重新授权会强制与用户进行对话，许多用户表示他们不愿意这样做。

刷新令牌基本上适用于正常网站可能选择在一小时左右后定期重新验证用户的相同位置（例如银行网站）。由于大多数社交网站都不会重新验证网络用户，因此目前它的使用率并不高，那么他们为什么要重新验证客户端呢？

而刷新令牌由授权服务器保留。访问令牌是自包含的，因此资源服务器可以在不存储它的情况下对其进行验证，从而节省了验证时的检索工作。讨论中缺少的另一点来自rfc6749#page-55

“例如，授权服务器可以使用刷新令牌每次访问都会发出新的刷新令牌的循环令牌刷新响应。上一个刷新令牌无效，但由授权服务器保留。如果刷新令牌为攻击者和合法客户端，其中一个将显示无效的刷新令牌，该令牌将通知授权服务器违规。"

我认为使用刷新令牌的关键在于，即使攻击者设法获得了刷新令牌、客户端ID和秘密组合。如果每次刷新请求都会产生新的访问令牌和刷新令牌，则可以通过后续调用从攻击者处获取新的访问标志。