尽管上面的答案很好，但我作为一名安全硕士生和程序员，在研究买家保护和欺诈时，曾在eBay工作过，可以说，将访问令牌和刷新令牌分开，在骚扰频繁输入用户名/密码的用户和保留撤销对可能滥用您服务的访问权限之间取得了最佳平衡。

想象一下这样的情景。您向用户发出3600秒的访问令牌，刷新令牌的时间长达一天。

用户是一个好用户，他在家里，上下你的网站，在他的iPhone上购物和搜索。他的IP地址不会改变，并且服务器负载很低。像每分钟3-5页的请求。当他在访问令牌上的3600秒结束时，他需要一个具有刷新令牌的新令牌。在服务器端，我们检查他的活动历史和IP地址，认为他是一个人，行为举止得体。我们授予他一个新的访问令牌以继续使用我们的服务。用户不需要再次输入用户名/密码，直到达到刷新令牌本身的一天寿命。用户是一个粗心大意的用户。他住在美国纽约，病毒程序被关闭，在波兰被黑客入侵。当黑客获得访问令牌和刷新令牌时，他试图模拟用户并使用我们的服务。但是，在短暂的实时访问令牌过期后，当黑客试图刷新访问令牌时，我们在服务器上注意到用户行为历史中的IP发生了巨大变化（嘿，这家伙在美国登录，现在在波兰仅3600秒后刷新访问）。我们终止刷新过程，使刷新令牌本身无效，并提示再次输入用户名/密码。该用户是恶意用户。他打算通过使用机器人每分钟调用1000次我们的API来滥用我们的服务。直到3600秒后，当他试图刷新访问令牌时，我们注意到他的行为，认为他可能不是人类。我们拒绝并终止刷新过程，并要求他再次输入用户名/密码。这可能会破坏他的机器人的自动流动。至少让他不舒服。

当我们试图平衡我们的工作、用户体验和被盗令牌的潜在风险时，您可以看到刷新令牌的表现非常完美。服务器端的看门狗不仅可以检查IP更改，还可以检查api调用的频率，以确定用户是否应该是一个好用户。

另一个词是，您还可以尝试通过在每个api调用上实现基本IP看门狗或任何其他措施来限制被盗令牌/滥用服务的损害控制。但这很昂贵，因为您必须读取和写入有关用户的记录，并且会降低服务器响应速度。

让我们考虑一个系统，其中每个用户链接到一个或多个角色，每个角色链接到一种或多种访问权限。可以缓存这些信息以获得更好的API性能。但是，用户和角色配置可能会发生变化（例如，可能会授予新的访问权限，或者可能会撤销当前的访问权限），这些都应该反映在缓存中。

我们可以为此目的使用访问和刷新令牌。当使用访问令牌调用API时，资源服务器检查缓存的访问权限。如果有任何新的访问许可，则不会立即反映。一旦访问令牌过期（例如在30分钟内）并且客户端使用刷新令牌生成新的访问令牌，就可以使用来自DB的更新的用户访问权限信息来更新缓存。

换句话说，我们可以将昂贵的操作从使用访问令牌的每次API调用转移到使用刷新令牌生成访问令牌的事件。

这个答案来自Justin Richer通过OAuth 2标准正文电子邮件列表。这是在他的许可下发布的。

刷新令牌的生命周期取决于（AS）授权服务器-它们可以过期、被撤销等。刷新令牌和访问令牌的区别在于受众：刷新令牌只返回授权服务器，访问令牌返回（RS）资源服务器。

此外，仅仅获得访问令牌并不意味着用户已经登录。事实上，用户可能已经不在那里了，这实际上是刷新令牌的预期用例。刷新访问令牌将允许您代表用户访问API，但不会告诉您用户是否在那里。

OpenIDConnect不仅从访问令牌提供用户信息，还提供ID令牌。这是一个单独的数据块，指向客户端本身，而不是AS或RS。在OIDC中，如果您可以获得一个新的ID令牌，您应该只考虑某人实际通过协议“登录”。刷新它可能还不够。

有关更多信息，请阅读http://oauth.net/articles/authentication/

Catchdave提供的讨论链接还有Dick Hardt提出的另一个有效的观点（原始的，死链接），我认为除了上面写的内容之外，这里还值得一提：

我记得刷新令牌是为了安全和撤销。<...>撤销：如果访问令牌是自包含的，则可以通过不发布新的访问令牌来撤销授权。资源不需要查询授权服务器以查看访问令牌是否有效。这简化了访问令牌验证，并使扩展和支持多个授权服务器更加容易。当访问令牌有效但授权被撤销时，有一个时间窗口。

事实上，在资源服务器和授权服务器是同一个实体的情况下，并且用户和其中任何一个之间的连接（通常）都是同样安全的，那么将刷新令牌与访问令牌分开并没有多大意义。

尽管如引用中所述，刷新令牌的另一个作用是确保用户可以随时（例如通过其配置文件中的web界面）撤销访问令牌，同时保持系统的可伸缩性。

通常，令牌可以是指向服务器数据库中特定记录的随机标识符，也可以包含自身的所有信息（当然，这些信息必须使用MAC进行签名）。

具有长期访问令牌的系统应该如何工作

服务器允许客户端通过发出令牌访问预定义范围内的用户数据。由于我们希望保持令牌的可撤销性，我们必须在数据库中存储令牌以及设置或取消设置的标志“已撤销”（否则，如何使用自包含令牌？）。数据库可以包含多达len（用户）x len（注册客户端）x len（范围组合）的记录。然后，每个API请求都必须命中数据库。虽然对执行O（1）的数据库进行查询非常简单，但单点故障本身可能会对系统的可伸缩性和性能产生负面影响。

具有长期刷新令牌和短期访问令牌的系统应该如何工作

在这里，我们发布两个密钥：带有数据库中相应记录的随机刷新令牌，以及签名的自包含访问令牌，其中包含过期时间戳字段。

由于访问令牌是自包含的，因此我们根本不必访问数据库来检查其有效性。我们所要做的就是解码令牌并验证签名和时间戳。

尽管如此，我们仍然需要保留刷新令牌的数据库，但对该数据库的请求数量通常由访问令牌的寿命定义（寿命越长，访问率越低）。

为了撤销特定用户对客户端的访问，我们应该将相应的刷新令牌标记为“已撤销”（或完全删除），并停止发布新的访问令牌。很明显，在一个窗口中，刷新令牌已被撤销，但其访问令牌可能仍然有效。

权衡取舍

刷新令牌部分消除了访问令牌数据库的SPoF（单点故障），但它们有一些明显的缺点。

“窗口”。事件“用户撤销访问”和“保证撤销访问”之间的时间间隔。客户端逻辑的复杂性。无刷新令牌使用访问令牌发送API请求如果访问令牌无效，则失败并要求用户重新验证带刷新令牌使用访问令牌发送API请求如果访问令牌无效，请尝试使用刷新令牌更新它如果刷新请求通过，则更新访问令牌并重新发送初始API请求如果刷新请求失败，请要求用户重新验证

我希望这个答案确实有意义，有助于某人做出更深思熟虑的决定。我还想指出，一些著名的OAuth2提供商，包括github和foursquare，采用了没有刷新令牌的协议，并对此感到满意。

我在这里获得了一些额外的资源，这些资源澄清了我们为什么需要refresh_token的某些问题。这些资源的一些要点如下：

在现实世界中，最好使用名为authServer和resourceServer/s的独立服务器authServer-仅用于身份验证和授权。该服务器的职责是发布刷新令牌、访问令牌以及登录和注销用户resourceServer-此服务器（也可以是负载平衡的多个服务器）提供受保护的数据。例如，这些数据可以像电子商务项目中的产品、评论等refresh_token的一个用途是，每次需要新的access_token时，我们不必通过网络（从前端到authServer）发送用户名和密码（凭据）。这应该只在第一次完成（当您还没有refresh_token时），refresh_taken将立即从authServer获取新的access_token，这样您就可以继续向受保护的resourceServer发出请求。这里的优点是，用户不必每次都提供凭据，因此用户的用户名和密码不容易被泄露。refresh_token的另一个主要用途是，假设您的authServer与现实世界中的resourceServer（第三方服务，如auth0、okta、azure等，或您自己的实现）相比非常受保护。您只需将access_token发送到resourceServer（以获取数据），而无需向resourceServer发送refresh_token。因此，当您的access_token发送到resourceServer时，很有可能会有黑客拦截您的resourceServer（因为它不像authServer那样安全），从而访问您的短暂访问权。因此，access_token的寿命很短（例如30分钟）。记住，当这个access_token过期时，您将向authServer（它比resourceServer更安全）发送refresh_token以获取新的access_toke。由于您在任何时候都不会向resourceServer发送refresh_token，因此拦截resourceServer的黑客不可能获得您的refresh_taken。如果作为一名开发人员，您仍然怀疑用户的refresh_token也可能被黑客入侵，那么您可以注销所有用户（使refresh_taken对所有用户无效），这样用户将再次登录（提供用户名和密码）以获得新的refresh_token+access_token，事情将再次步入正轨。

一些有用的资源

具有或不具有刷新令牌的工作流-Youtube

JWT认证代码示例-节点JS-Youtube

由于刷新和访问令牌是加载了大量语义的术语，因此术语转换可能会有所帮助？

可撤销令牌-必须通过授权服务器检查的令牌可以链接（请参阅RTR-刷新令牌循环）可以用于创建不可撤销的令牌，但也可以直接使用（当卷很小且检查不会成为负担时）可以使用很长时间，但这取决于用户需要多久才能获得新的凭据（用户名/密码）可以在RTR或任何其他可疑行为上无效不可撤销令牌-自包含的令牌，不需要通过授权服务器进行检查适用于大数据、分布式服务器/api调用的横向扩展应该是短暂的（因为是不可撤销的）

2020年，浏览器中也可以存在刷新令牌（最初为后端系统提供），这一点已被接受-请参见https://pragmaticwebsecurity.com/articles/oauthoidc/refresh-token-protection-implications.因此，焦点从“可刷新性”（在没有用户的情况下，后端如何延长对api的访问）转向了“可撤销性”。

因此，在我看来，将刷新令牌读取为可撤销令牌并将访问令牌读取为不可撤销令牌（可能是快速过期不可撤销的令牌）看起来更安全。

作为2021良好实践的附带说明，系统始终可以从可撤销的令牌开始，并在授权服务器压力增加时转向不可撤销的。