据我所知，如果您需要撤销访问，刷新令牌只是为了性能和成本节省。

例1：不实现刷新令牌；仅实现长期访问令牌：如果用户滥用服务（例如：不支付订阅），您需要能够撤销访问令牌=>您需要在每个需要访问令牌的API调用上检查访问令牌的有效性，这会很慢，因为它需要DB查找（缓存可以帮助，但这更复杂）。

例2：实现刷新令牌和短期访问令牌：如果用户滥用服务（例如：不支付订阅），您需要能够撤销访问令牌=>短暂的访问令牌将在短暂的白色（例如1小时）后过期，用户将需要获得新的访问令牌，因此我们不需要对需要访问令牌的每个API调用进行验证。您只需要在从刷新令牌生成访问令牌时验证用户。对于坏用户，如果无法生成访问令牌，则可以注销该用户。当用户尝试重新登录时，验证将再次运行并返回错误。

假设您使access_token持续很长时间，并且没有refresh_token，那么在一天之内，黑客就可以访问所有受保护的资源！

但如果你有refresh_token，access_token的生存时间很短，所以黑客很难破解你的access_toke，因为它在短时间后将无效。Access_token只能通过不仅使用refresh_token，而且还可以通过client_id和client_secret（黑客没有）检索回来。

为了消除一些混淆，您必须了解客户机密码和用户密码的角色，这两个角色非常不同。

客户端是应用程序/网站/程序/。。。，该服务器希望通过使用第三方身份验证服务对用户进行身份验证。客户端机密是一个（随机）字符串，该字符串对此客户端和身份验证服务器都是已知的。使用这个秘密，客户端可以通过身份验证服务器识别自己，从而获得请求访问令牌的授权。

要获取初始访问令牌和刷新令牌，需要：

用户ID用户密码客户端ID客户机密

要获取刷新的访问令牌，客户端使用以下信息：

客户端ID客户机密刷新令牌

这清楚地表明了区别：在刷新时，客户端通过使用其客户端密钥来获得刷新访问令牌的授权，因此可以使用刷新令牌而不是用户ID+密码来重新验证用户。这有效地防止了用户必须重新输入他/她的密码。

这也表明，丢失刷新令牌是没有问题的，因为客户机ID和机密是未知的。它还表明，保持客户机ID和客户机机密是至关重要的。

这一切都与扩展和保持资源服务器无状态有关。

您的服务器/资源服务器服务器是无状态的，这意味着不检查任何存储以快速响应。通过使用公钥验证令牌的签名来执行此操作。检查每个请求的access_token。通过只检查access_token的签名和过期日期，响应速度非常快，并允许扩展。access_token应该有很短的到期时间（几分钟），因为如果它被泄露，就没有办法撤销它。身份验证服务器/OAuth服务器服务器不是无状态的，但它可以，因为请求要少得多。仅在access_token过期时检查refresh_token。（例如每2分钟）请求速率远低于资源服务器。将刷新令牌存储在数据库中，并可以撤消它。refresh_token可能有很长的到期时间（几周/几个月），如果它被泄露，有办法撤销它。

不过有一个重要的注意事项，身份验证服务器的请求要少得多，因此可以处理负载，但是由于必须存储所有refresh_token，因此可能存在存储问题，如果用户急剧增加，这可能会成为一个问题。

尽管上面的答案很好，但我作为一名安全硕士生和程序员，在研究买家保护和欺诈时，曾在eBay工作过，可以说，将访问令牌和刷新令牌分开，在骚扰频繁输入用户名/密码的用户和保留撤销对可能滥用您服务的访问权限之间取得了最佳平衡。

想象一下这样的情景。您向用户发出3600秒的访问令牌，刷新令牌的时间长达一天。

用户是一个好用户，他在家里，上下你的网站，在他的iPhone上购物和搜索。他的IP地址不会改变，并且服务器负载很低。像每分钟3-5页的请求。当他在访问令牌上的3600秒结束时，他需要一个具有刷新令牌的新令牌。在服务器端，我们检查他的活动历史和IP地址，认为他是一个人，行为举止得体。我们授予他一个新的访问令牌以继续使用我们的服务。用户不需要再次输入用户名/密码，直到达到刷新令牌本身的一天寿命。用户是一个粗心大意的用户。他住在美国纽约，病毒程序被关闭，在波兰被黑客入侵。当黑客获得访问令牌和刷新令牌时，他试图模拟用户并使用我们的服务。但是，在短暂的实时访问令牌过期后，当黑客试图刷新访问令牌时，我们在服务器上注意到用户行为历史中的IP发生了巨大变化（嘿，这家伙在美国登录，现在在波兰仅3600秒后刷新访问）。我们终止刷新过程，使刷新令牌本身无效，并提示再次输入用户名/密码。该用户是恶意用户。他打算通过使用机器人每分钟调用1000次我们的API来滥用我们的服务。直到3600秒后，当他试图刷新访问令牌时，我们注意到他的行为，认为他可能不是人类。我们拒绝并终止刷新过程，并要求他再次输入用户名/密码。这可能会破坏他的机器人的自动流动。至少让他不舒服。

当我们试图平衡我们的工作、用户体验和被盗令牌的潜在风险时，您可以看到刷新令牌的表现非常完美。服务器端的看门狗不仅可以检查IP更改，还可以检查api调用的频率，以确定用户是否应该是一个好用户。

另一个词是，您还可以尝试通过在每个api调用上实现基本IP看门狗或任何其他措施来限制被盗令牌/滥用服务的损害控制。但这很昂贵，因为您必须读取和写入有关用户的记录，并且会降低服务器响应速度。

刷新令牌的思想是，如果访问令牌因其短暂而受到破坏，攻击者可以在有限的窗口中滥用它。

刷新令牌（如果被破坏）是无用的，因为攻击者除了需要刷新令牌之外还需要客户端id和密码，以便获得访问令牌。

话虽如此，由于每次对授权服务器和资源服务器的调用都是通过SSL完成的，包括请求访问/刷新令牌时的原始客户端id和secret，因此我不确定访问令牌如何比长期刷新令牌和客户端id/secret组合更“不可妥协”。

当然，这与不同时控制授权服务器和资源服务器的实现不同。

这里有一个很好的线程，讨论了刷新令牌的使用：OAuth存档。

引用上述内容，讨论刷新令牌的安全目的：

刷新令牌。。。降低长期access_token泄漏的风险（在不安全的资源服务器上的日志文件中查询参数，测试版或编码不良的资源服务器应用程序，非https站点上的JS SDK客户端将access_toke放入cookie等）