В чём разница между access token и refresh token?

Access token и refresh token — это два разных типа токенов, используемых для аутентификации и авторизации в системах с OAuth-подобной схемой.

• Access token — короткоживущий токен, который предоставляет клиенту доступ к защищённым ресурсам. Обычно имеет небольшой срок действия (например, несколько минут или часов). Используется для непосредственного доступа к API.

• Refresh token — долгоживущий токен, который используется для получения нового access token после истечения срока его действия. Обычно хранится более безопасно и не передаётся часто.

Пример сценария:

1. Клиент получает access token и refresh token после успешной аутентификации.
2. Клиент использует access token для запросов к API.
3. Когда access token истекает, клиент отправляет refresh token на сервер авторизации, чтобы получить новый access token.
4. Если refresh token тоже истёк или отозван, требуется повторная аутентификация пользователя.

Таким образом, refresh token повышает безопасность и удобство, позволяя не запрашивать у пользователя логин и пароль слишком часто.