这是非常多的实现特定的，但总体思路是允许提供商发布短期访问令牌长期刷新令牌。为什么？

This is very much implementation specific, but the general idea is to allow providers to issue short term access tokens with long term refresh tokens. Why?

• 许多提供商支持承载令牌，这些令牌在安全性方面非常弱。通过使它们短暂并需要刷新，它们限制了攻击者滥用盗取令牌的时间。 大规模部署不希望在每次API调用时执行数据库查找，所以相反，他们发出可以通过解密验证的自编码访问令牌。但是，这也意味着无法撤销这些令牌，因此它们会在短时间内发布并且必须刷新。


• 刷新令牌需要客户端身份验证，这使其更加强大。与上述访问令牌不同，它通常是通过数据库查找来实现的。