我已经看了:
https://auth0.com/blog/refresh-tokens-what-are-they-and-when-to-use-them/
根据我的理解,这就是OAuth v2的工作方式:
1)用户发送他的凭证到服务器,服务器验证并返回一个access_token
和一个refresh_token
2)用户随后在请求中加入这个access_token
来标识自己
3)当 access_token
过期时,用户使用 refresh_token
和其他必要参数向服务器发送另一个请求,以获取新的access_token
和refresh_token
我的问题是:
为什么需要单独一个refresh_token
?不能发送即将过期的旧access_token
来获取新的吗?
使用refresh_token
的额外优势是什么?