“刷新令牌”的目的是什么？

@Teyam提了这么一个帖子为什么OAuth v2既有访问令牌又有刷新令牌？但我更喜欢另一个答案:https://stackoverflow.com/a/12885823/254109

TL；DR refresh_token不会带来更高的安全性。这是为了提高可伸缩性和性能。然后，< code>access_token可以存储在某个快速的临时存储器中(如内存)。它也允许授权和资源服务器分离。

刷新令牌至少有两个目的。首先，刷新令牌是一种“证据”,表明OAuth2客户端已经从用户处获得了访问其数据的许可，因此可以再次请求新的访问令牌，而无需用户经历整个OAuth2html" target="_blank">流程。其次，与长期存在的访问令牌相比，它有助于提高整体安全性。我会更详细地讨论这两点。

让我们用一个例子来谈谈第一个目的。假设您（用户）正在使用想要与您的 YouTube 帐户数据进行交互的第三方客户端网络应用程序。向客户端应用程序授予使用 YouTube 数据的权限后，您是否希望客户端应用程序在其 YouTube 令牌过期时再次提示您授予权限？如果 YouTube 代币的到期时间非常低，比如 5 分钟，会发生什么情况。让客户端应用程序至少每 5 分钟提示您一次权限会有点烦人！OAuth2 针对此“问题”提出的解决方案是刷新令牌。通过使用刷新令牌，访问令牌可以保持短期生存期（如果访问令牌以某种方式泄露或被盗，这是可取的），并且刷新令牌可以保持长（er）生存期，从而允许客户端在访问令牌过期时获取新的访问令牌，而无需用户许可（再次）。

但为什么要刷新令牌呢？如果重点是不让用户使用权限请求，那么为什么客户端不能简单地说“嘿，授权服务器，我想要另一个访问令牌。现在！”？或者，“嘿，授权服务器，这是我过期的令牌，给我一个新的！”。嗯，刷新令牌可以作为一种“证据”，证明客户端在某个原始时间点被用户授予访问权限。这个“证明”是由授权服务器进行数字签名的刷新令牌的形式。通过客户端呈现刷新令牌，授权服务器可以验证客户端是否在过去的某个时间点收到了用户的许可，并且客户端不必再次提示用户。

然而，这就提出了一个问题，“那么，如果刷新令牌被泄漏或窃取，或者只是被恶意的客户端应用程序保存，而该应用程序没有按照用户的请求删除它，会发生什么情况呢？攻击者难道不能继续使用刷新令牌来无限期地获得有效的访问令牌吗(或者直到它过期)？这个问题引出了我提到的第二个目的，刷新令牌有助于更安全的流。

访问令牌带来的问题是，一旦获得，它们只会呈现给资源服务器(例如YouTube)。因此，如果一个访问令牌被盗或遭到破坏，如何告诉资源服务器不要信任这个令牌呢？你真的不能。唯一的方法是更改授权服务器上的私有签名密钥(首先对令牌进行签名的密钥)。我想这样做不太方便，而且在某些情况下(比如Auth0)不被支持。

另一方面，刷新令牌需要频繁地呈现给授权服务器，因此，如果一个令牌被破坏，那么撤销或拒绝整个刷新令牌是很容易的，并且不必改变任何签名密钥。

基本上，刷新令牌用于获取新的访问令牌。

为了清楚地区分这两个令牌并避免混淆，OAuth 2.0授权框架中给出了它们的功能:

• 访问令牌由授权服务器在资源所有者的批准下颁发给第三方客户端。客户端使用访问令牌访问资源服务器托管的受保护资源。
• 刷新令牌是用于获取访问令牌的凭据。刷新令牌由授权服务器颁发给客户端，用于在当前访问令牌无效或过期时获取新的访问令牌，或获取范围相同或更窄的其他访问令牌。

现在，为了回答您关于为什么仍然向您颁发刷新令牌而不仅仅是保护访问令牌的问题，Internet 工程任务组在刷新令牌中提供的主要原因是：

出于安全原因，< code>refresh_token仅与授权服务器交换，而< code>access_token则与资源服务器交换。这降低了在“一个访问令牌一小时有效，一个刷新令牌一年有效或有效直至被撤销”与“一个访问令牌有效直至被撤销但没有刷新令牌”中长期访问令牌泄漏的风险

有关OAuth 2.0 Flow的更详细和完整的信息，请尝试阅读以下参考：

< li> OAuth 2.0流程:服务器端web应用程序 < li >互联网工程任务组(IETF)发布的OAuth 2.0授权框架 < li >那么，为什么OAuth v2同时具有访问和刷新令牌？