我已经看过了
https://auth0.com/blog/refresh-tokens-what-are-they-and-when-to-use-them/
据我了解,这就是 OAuth v2 的工作方式:
1) 用户将他的凭据发送到验证它并返回一个access_token和一个的服务器refresh_token
2) 用户将此acsess_token连同进一步的请求一起发送以表明自己的身份
3)当access_token过期时,用户向服务器发送另一个请求,并请求一个新的和refresh_token其他必需的参数access_tokenrefresh_token
这是我的问题:
有什么需要分开的refresh_token?为什么不发送旧的access_token(反正即将过期)换新的?
使用 a 的额外优势是refresh_token什么?