В классической схеме с access и refresh токенами для обновления access токена используется только refresh токен. Access токен — короткоживущий, используется для доступа к ресурсам, а refresh токен — долгоживущий, служит для получения нового access токена без повторной аутентификации.

Процесс обычно такой:

Клиент получает access и refresh токены после успешного логина.
При истечении срока действия access токена клиент отправляет refresh токен на сервер.
Сервер проверяет refresh токен и, если он валиден, выдает новый access токен (и иногда новый refresh токен).

Access токен не нужен для обновления, достаточно только refresh токена. Это снижает риски, так как refresh токен хранится более защищенно и используется реже.

Как работала схема access/refresh токенов — только refresh нужен для обновления или пара?