引用部分: 通常实现隐式授权的单页应用程序不得在任何情况下获取刷新令牌。原因是这一信息的敏感性。您可以将其视为用户凭据,因为刷新令牌使用户能够长期保持认证状态。因此,您不能将此信息存储在浏览器中,必须进行安全存储。
我感到困惑。据我了解,检索新的访问令牌的唯一方法就是向认证服务器提交新的请求,同时携带某种形式的Auth0会话cookie对已登录的用户进行身份验证。在接收到会话cookie后,Auth0服务器将能够发出新的访问令牌。
但是,与在浏览器或本地存储中有刷新令牌相比,这有何不同呢?什么使会话Cookie比刷新令牌更安全?为什么在SPA中使用刷新令牌是不好的事情?