这个答案来自Justin Richer通过OAuth 2标准正文电子邮件列表。这是在他的许可下发布的。

刷新令牌的生命周期取决于（AS）授权服务器-它们可以过期、被撤销等。刷新令牌和访问令牌的区别在于受众：刷新令牌只返回授权服务器，访问令牌返回（RS）资源服务器。

此外，仅仅获得访问令牌并不意味着用户已经登录。事实上，用户可能已经不在那里了，这实际上是刷新令牌的预期用例。刷新访问令牌将允许您代表用户访问API，但不会告诉您用户是否在那里。

OpenIDConnect不仅从访问令牌提供用户信息，还提供ID令牌。这是一个单独的数据块，指向客户端本身，而不是AS或RS。在OIDC中，如果您可以获得一个新的ID令牌，您应该只考虑某人实际通过协议“登录”。刷新它可能还不够。

有关更多信息，请阅读http://oauth.net/articles/authentication/

为什么不让access_token和refresh_token一样长不吃点心吗？

除了其他人提供的出色答案之外，我们使用刷新令牌还有另一个原因，这与声明有关。

每个令牌都包含声明，这些声明可以包括用户名、用户角色或创建声明的提供者等任何内容。当刷新令牌时，这些声明将被更新。

如果我们更频繁地刷新令牌，显然会给我们的身份服务带来更大的压力；然而，我们正在获得更准确和最新的声明。

据我所知，如果您需要撤销访问，刷新令牌只是为了性能和成本节省。

例1：不实现刷新令牌；仅实现长期访问令牌：如果用户滥用服务（例如：不支付订阅），您需要能够撤销访问令牌=>您需要在每个需要访问令牌的API调用上检查访问令牌的有效性，这会很慢，因为它需要DB查找（缓存可以帮助，但这更复杂）。

例2：实现刷新令牌和短期访问令牌：如果用户滥用服务（例如：不支付订阅），您需要能够撤销访问令牌=>短暂的访问令牌将在短暂的白色（例如1小时）后过期，用户将需要获得新的访问令牌，因此我们不需要对需要访问令牌的每个API调用进行验证。您只需要在从刷新令牌生成访问令牌时验证用户。对于坏用户，如果无法生成访问令牌，则可以注销该用户。当用户尝试重新登录时，验证将再次运行并返回错误。

刷新令牌和访问令牌只是术语。

这个小小的类比可以帮助巩固使用访问令牌和刷新令牌背后的理论基础：

假设Alice通过邮寄给Bob一张支票，该支票可以在出票后1小时内兑现（假设），否则银行不会兑现。但Alice还在给银行的邮件中附上了一张纸条，要求银行接受并兑现支票，以防支票延迟（在规定范围内）

当Bob收到这张支票时，如果他看到这张支票被篡改（令牌篡改），他将自己丢弃这张支票。如果没有，他可以把它拿到银行兑现。在这里，当银行注意到发行时间超过了1小时的时限，但看到Alice的签名通知，要求银行在规定的延迟范围内兑现。

看到这张纸条后，银行会尝试验证签名的消息，并检查Alice是否仍然具有正确的权限。如果是，银行将支票兑现。鲍勃现在可以向爱丽丝承认这一点了。

虽然不是非常准确，但这个类比可以帮助您注意到处理事务所涉及的不同部分：

Alice（发件人-客户）Bob（接收者-资源服务器）银行（授权服务器）验证过程（数据库访问）支票（访问令牌）备注（刷新令牌）

主要是，为了优化可伸缩性，我们希望减少对Auth Server以及最终对数据库的API调用次数。我们需要在方便和安全之间取得适当的平衡。

注意：与链中的资源服务器相比，让Auth服务器更早地响应请求当然更常见。

为了进一步简化B T的答案：当您通常不希望用户再次输入凭据，但仍然希望能够撤销权限（通过撤销刷新令牌）时，请使用刷新令牌

您不能撤销访问令牌，只能撤销刷新令牌。

为了消除一些混淆，您必须了解客户机密码和用户密码的角色，这两个角色非常不同。

客户端是应用程序/网站/程序/。。。，该服务器希望通过使用第三方身份验证服务对用户进行身份验证。客户端机密是一个（随机）字符串，该字符串对此客户端和身份验证服务器都是已知的。使用这个秘密，客户端可以通过身份验证服务器识别自己，从而获得请求访问令牌的授权。

要获取初始访问令牌和刷新令牌，需要：

用户ID用户密码客户端ID客户机密

要获取刷新的访问令牌，客户端使用以下信息：

客户端ID客户机密刷新令牌

这清楚地表明了区别：在刷新时，客户端通过使用其客户端密钥来获得刷新访问令牌的授权，因此可以使用刷新令牌而不是用户ID+密码来重新验证用户。这有效地防止了用户必须重新输入他/她的密码。

这也表明，丢失刷新令牌是没有问题的，因为客户机ID和机密是未知的。它还表明，保持客户机ID和客户机机密是至关重要的。