OAUTH2:是否刷新获取受保护资源的令牌？

当我使用浏览器时，我使用此endpoint授权： https://login.microsoftonline.com/organizations/oauth2/v2.0/authorize？client_id= &response_type=code&redirect_uri= &scope=email+offline_access+openid+profile&state=&prompt=sel

我正在尝试使用SAML保护资源。有三个参与者在起作用：身份提供者（IDP，在我的控制范围之外）、服务提供者（SP，我碰巧在使用spring security saml，但这个问题并不特定于此），以及受保护的资源（PR，SP之外服务中的某个受保护endpoint）。 我需要支持两种场景： 用户第一次尝试访问PR，没有任何会话 对于场景1应该如何工作，有足够的指导，因为根据我所看到的，这是使用SAML

我已经创建了许多生成/使用JSON数据的Web服务，并使用OAuth2和承载令牌对它们进行了保护，效果很好。 然而，现在我需要构建一个类似的Web服务来生成图像而不是JSON（即JPEG/PNG数据）。为了保持一致性，我也想用OAuth2/承载令牌来保护服务，但是这样做会使服务在基于浏览器的应用程序中更具挑战性，这些应用程序希望使用 我认为有两种方法可以解决这个问题： > 修改OAuth2基础设施

通过向资源服务器出示访问令牌，客户端访问受保护资源。资源服务器必须验证访问令牌，并确保它没有过期且其范围涵盖了请求的资源。资源服务器用于验证访问令牌的方法（以及任何错误响应）超出了本规范的范围，但一般包括资源服务器和授权服务器之间的互动或协调。 客户端使用访问令牌与资源服务器进行证认的方法依赖于授权服务器颁发的访问令牌的类型。通常，它涉及到使用具有所采用的访问令牌类型的规范定义的身份验证方案(如R

我正在使用JWTs为我的应用程序验证用户身份。当用户登录时，他们将获得一个访问令牌和一个刷新令牌。为了保证刷新令牌的安全，我不将其存储在客户端，而是将其与他们的帐户一起保存在后端，这样就不容易访问了。虽然我对刷新令牌的安全性感到困惑，但当我阅读关于如何使用刷新令牌的在线资源时，以下是我理解的逻辑： 身份验证 将访问令牌+刷新令牌存储在某个位置（在我的示例中，访问令牌位于前端，刷新令牌位于后端） 执

我对oauth2中的刷新令牌有点困惑。如它所说的访问令牌限制了黑客可以使用用户凭证的1小时的时间窗口，刷新令牌是万岁令牌，可以用来重新创建访问令牌。 我很困惑，如果有人从cookie中窃取了访问令牌，他也可以窃取刷新令牌，并可以使用刷新令牌创建新的访问令牌，因为我在JQuery中有ajax请求（客户端）