最近一段时间新接手一个项目，第一次听说refresh token，下面谈谈我自己的理解。

首先，什么是token? 什么是refresh token?两者之间有什么关系？

1.token是服务端生成的一串字符串，以作客户端进行请求的一个令牌，当第一次登录后，服务器生成一个Token便将此Token返回给客户端，以后客户端只需带上这个Token前来请求数据即可，无需再次带上用户名和密码。

2.refresh_token的作用是刷新AccessToken。认证服务器会提供一个刷新接口，我们传入Refresh_token，认证服务器通过后会返回一个新的AccessToken。

3.token即是获取受保护资源的凭证，当然必须有过期时间。否则一次登录便可永久使用，认证功能就失去了其意义。非但必须有个过期时间，而且过期时间还不能太长，这时就需要刷新token，我们一般都是通过重新登录来获取新的token，这样用户每隔一段时间就需要重新登录， 于是Oauth2.0 引入了 refresh token 机制。
可以利用refresh token来刷新access token,当token过期后，会调用刷新token接口，如果access token 与refresh token都过期，才进行重新登录和授权。
以上就是我自己对token与refresh token 的理解，有需要改正的地方请指正。