刷新令牌OAuth2实现

我对oauth2中的刷新令牌有点困惑。如它所说的访问令牌限制了黑客可以使用用户凭证的1小时的时间窗口，刷新令牌是万岁令牌，可以用来重新创建访问令牌。 我很困惑，如果有人从cookie中窃取了访问令牌，他也可以窃取刷新令牌，并可以使用刷新令牌创建新的访问令牌，因为我在JQuery中有ajax请求（客户端）

我理解客户机应用程序使用refresh_token（连同它的凭据）为最终用户（资源所有者）获取新的访问令牌，而不是存储最终用户的用户名/密码，并在每次access_token过期时发送它们。 然而，在我看来，这听起来像refresh_token和access_token一样好，它几乎只是一个额外的服务器调用，所以为什么不直接使用它，即如果refresh token是有效的授予访问权限呢？

我以前在一个OAuth2应用程序中工作过，其中的逻辑是在旧的访问令牌过期后通过刷新令牌生成新的访问令牌。 如果访问令牌在30分钟后过期，然后您只需要传入刷新令牌（但没有重新生成），那么刷新令牌的意义是什么？

我正在实现一个支持刷新令牌的OAuth2服务器，但是，有一些东西我不能完全理解。 当用户通过请求新的访问令牌，并且他/她请求的范围小于原始访问令牌的范围（5个范围中的3个）时。刷新令牌应该具有原始作用域还是刷新令牌应该具有请求的新作用域？ > 如果刷新令牌请求了新的作用域，这是否意味着如果它们继续请求较小的作用域，它们最终将耗尽作用域？ 刷新令牌是否应保留原始作用域？这意味着返回的访问令牌对于刷新

是否可以将oauth1 3LO访问令牌和机密迁移到oauth2刷新令牌？ 1）{“错误”：“unauthorized_client”} 从云控制台使用有效的client_id和client_secret。看起来client_secret是错误的，但我们重新检查并使用了不同的应用程序--同样的问题。 2）我们有一个测试web oauth2应用程序，错误为：{“error”：“disabled_cli

application.yml：