这些答案都没有找到刷新令牌存在的核心原因。显然，您总是可以通过将客户端凭据发送到身份验证服务器来获得新的访问令牌/刷新令牌对——这就是您首先获得它们的方式。

因此，刷新令牌的唯一目的是限制通过网络发送到身份验证服务的客户端凭据的使用。访问令牌的TTL越短，就越需要使用客户端凭据来获取新的访问令牌，因此攻击者就越有机会破坏客户端凭据（尽管如果使用非对称加密发送客户端凭据，这可能非常困难）。因此，如果您有一个一次性刷新令牌，您可以使访问令牌的TTL任意小，而不影响客户端凭据。

这个答案来自Justin Richer通过OAuth 2标准正文电子邮件列表。这是在他的许可下发布的。

刷新令牌的生命周期取决于（AS）授权服务器-它们可以过期、被撤销等。刷新令牌和访问令牌的区别在于受众：刷新令牌只返回授权服务器，访问令牌返回（RS）资源服务器。

此外，仅仅获得访问令牌并不意味着用户已经登录。事实上，用户可能已经不在那里了，这实际上是刷新令牌的预期用例。刷新访问令牌将允许您代表用户访问API，但不会告诉您用户是否在那里。

OpenIDConnect不仅从访问令牌提供用户信息，还提供ID令牌。这是一个单独的数据块，指向客户端本身，而不是AS或RS。在OIDC中，如果您可以获得一个新的ID令牌，您应该只考虑某人实际通过协议“登录”。刷新它可能还不够。

有关更多信息，请阅读http://oauth.net/articles/authentication/

首先，客户端通过给予授权授权与授权服务器进行身份验证。然后，客户端通过提供访问令牌向资源服务器请求受保护的资源。资源服务器验证访问令牌并提供受保护的资源。客户端通过授予访问令牌向资源服务器发出受保护的资源请求，如果有效，资源服务器将在其中验证该请求并为请求提供服务。此步骤一直重复，直到访问令牌过期。如果访问令牌过期，则客户端向授权服务器进行身份验证，并通过提供刷新令牌来请求新的访问令牌。如果访问令牌无效，资源服务器将向客户端发回无效令牌错误响应。客户端通过授予刷新令牌与授权服务器进行身份验证。然后，授权服务器通过验证客户端来验证刷新令牌，并发出新的访问令牌（如果有效）。

为什么不让access_token和refresh_token一样长不吃点心吗？

除了其他人提供的出色答案之外，我们使用刷新令牌还有另一个原因，这与声明有关。

每个令牌都包含声明，这些声明可以包括用户名、用户角色或创建声明的提供者等任何内容。当刷新令牌时，这些声明将被更新。

如果我们更频繁地刷新令牌，显然会给我们的身份服务带来更大的压力；然而，我们正在获得更准确和最新的声明。

假设您使access_token持续很长时间，并且没有refresh_token，那么在一天之内，黑客就可以访问所有受保护的资源！

但如果你有refresh_token，access_token的生存时间很短，所以黑客很难破解你的access_toke，因为它在短时间后将无效。Access_token只能通过不仅使用refresh_token，而且还可以通过client_id和client_secret（黑客没有）检索回来。

让我们考虑一个系统，其中每个用户链接到一个或多个角色，每个角色链接到一种或多种访问权限。可以缓存这些信息以获得更好的API性能。但是，用户和角色配置可能会发生变化（例如，可能会授予新的访问权限，或者可能会撤销当前的访问权限），这些都应该反映在缓存中。

我们可以为此目的使用访问和刷新令牌。当使用访问令牌调用API时，资源服务器检查缓存的访问权限。如果有任何新的访问许可，则不会立即反映。一旦访问令牌过期（例如在30分钟内）并且客户端使用刷新令牌生成新的访问令牌，就可以使用来自DB的更新的用户访问权限信息来更新缓存。

换句话说，我们可以将昂贵的操作从使用访问令牌的每次API调用转移到使用刷新令牌生成访问令牌的事件。