Access Token обычно содержит информацию о пользователе и правах доступа (например, user_id, scope, время жизни токена). Он часто представлен в виде JWT (JSON Web Token), где поля хранятся в зашифрованном или подписанном формате внутри самого токена.

Refresh Token — это длинно живущий токен, который используется для получения нового Access Token без повторной аутентификации пользователя. В отличие от Access Token, Refresh Token обычно хранится на сервере в базе данных с привязкой к пользователю и сроком действия.

Таким образом:

Поля Access Token хранятся внутри самого токена (например, в payload JWT).
Поля Refresh Token хранятся на сервере, а клиент хранит только сам токен для обновления.

Из чего состоят и где хранятся поля в Access Token и его Refresh Token?