Access-токен и refresh-токен — это два разных типа токенов, используемых для аутентификации и авторизации в системах с OAuth 2.0 и подобными протоколами.

Access-токен — это короткоживущий токен, который используется клиентом для доступа к защищённым ресурсам (API). Обычно имеет небольшой срок жизни (например, несколько минут или часов). Его задача — подтверждать права доступа пользователя.
Refresh-токен — это токен с более длительным сроком жизни, который используется для получения нового access-токена без повторной аутентификации пользователя. Он не даёт прямого доступа к ресурсам, а служит для обновления access-токена.

Пример сценария:

Пользователь входит в систему, получает access-токен и refresh-токен.
Клиент использует access-токен для запросов к API.
Когда access-токен истекает, клиент отправляет refresh-токен на сервер авторизации, чтобы получить новый access-токен.

Это повышает безопасность, так как access-токен имеет короткий срок жизни, а refresh-токен можно хранить более защищённо и использовать для обновления сессии без повторного ввода пароля.

Чем access-токен отличается от refresh-токена?