token与refresh token

最近一段时间新接手一个项目,第一次听说refresh token,下面谈谈我自己的理解。

首先,什么是token? 什么是refresh token?两者之间有什么关系?

1.token是服务端生成的一串字符串,以作客户端进行请求的一个令牌,当第一次登录后,服务器生成一个Token便将此Token返回给客户端,以后客户端只需带上这个Token前来请求数据即可,无需再次带上用户名和密码。

2.refresh_token的作用是刷新AccessToken。认证服务器会提供一个刷新接口,我们传入Refresh_token,认证服务器通过后会返回一个新的AccessToken。

3.token即是获取受保护资源的凭证,当然必须有过期时间。否则一次登录便可永久使用,认证功能就失去了其意义。非但必须有个过期时间,而且过期时间还不能太长,这时就需要刷新token,我们一般都是通过重新登录来获取新的token,这样用户每隔一段时间就需要重新登录, 于是Oauth2.0 引入了 refresh token 机制。
可以利用refresh token来刷新access token,当token过期后,会调用刷新token接口,如果access token 与refresh token都过期,才进行重新登录和授权。
以上就是我自己对token与refresh token 的理解,有需要改正的地方请指正。