如果我将刷新令牌交换为新的访问令牌，那么旧的access_token是否有效（Google OAuth2)？

我的应用程序使用Google refresh令牌（从Google获得access_token)。我在这里有两个问题： 我知道谷歌刷新令牌不会在6个月内过期（见这里的文档）；假设我在1月1日下午5:00pm获得了一个刷新令牌，并且我的应用程序在1月1日下午5:30从Google请求了另一个刷新令牌，那么旧的刷新令牌是否仍然有效（显然旧的还没有过期）？--基本上，我询问新发出的refresh_toke

我在自己的Web API上使用Oauth2,在Web应用程序上使用ASP.NET C#来使用该API。在我的web应用程序上，我正在进行HttpWebRequests。当我的访问令牌过期时，我调用一个方法“refreshToken”，该方法发出请求以获取新的访问令牌。这工作很好，没有问题...除了我得到的响应包含一个新的刷新令牌？？？我在等新的访问令牌。我甚至认为在没有再次传递凭据的情况下这是不可

我不熟悉，它代表。我混淆了它的两个术语：访问令牌和刷新令牌。 用户注册/登录站点后，我创建和。 将刷新标记保存在数据库或cookie中。 15分钟后，用户标记访问令牌过期。 如果用户空闲2小时，我将从cookie或DB中删除刷新令牌，否则我将使用刷新令牌续订访问令牌。 有什么优化的方法可以达到这个目的吗？

我已经阅读了JWT和访问令牌和刷新令牌。我知道您必须在很短的时间（分钟）内设置访问令牌过期，并在过期时使用刷新令牌获取新的访问令牌。 我不清楚三件事： 谁检查访问令牌是否过期？客户端是否通过发送过期的访问令牌和刷新来检查并请求新的访问代码？ 谁检查刷新令牌是否过期？（显然刷新令牌也需要过期，尽管需要更长的时间才能过期）。 在我看来，如果刷新令牌过期，则必须提示用户重新登录。在某些情况下（移动应用）

我面临一个问题，以刷新谷歌访问令牌在服务器端。 我从谷歌认证服务器得到的响应只是403状态代码。信息是这样的 仅仅为了刷新访问令牌，在我的服务器上使用SSL是强制性的吗？它已经在我的本地服务器上测试过，没有附加任何SSL到它。

我有一个基于OAuth2的授权服务器。与访问令牌一起发送的还有刷新令牌。 我可以使用访问令牌获得一个资源，当它过期时，我使用刷新令牌请求一个新的资源。 不过，我也可以用刷新令牌获取资源...是Oauth2的典型行为吗？我以为这个刷新令牌只用于请求新的访问令牌，而不是用于获取受保护的资源。 多谢了。