Refresh Token
刷新令牌是可用于获取新访问令牌的凭据。
与访问令牌的生命周期相比,刷新令牌的生命周期要长得多。
刷新令牌也可以过期,但是很长时间都很安静。
当前访问令牌过期或变为无效时,授权服务器向客户端提供刷新令牌以获取新的访问令牌。
下图说明了刷新过期的访问令牌的过程。
Step 1 - 首先,客户端通过授权授权向授权服务器进行身份验证。
Step 2 - 接下来,授权服务器验证客户端,验证授权授权并向客户端发出访问令牌和刷新令牌(如果有效)。
Step 3 - 然后,客户端通过提供访问令牌向资源服务器请求受保护资源。
Step 4 - 资源服务器验证访问令牌并提供受保护资源。
Step 5 - 客户端通过授予访问令牌向资源服务器发出受保护资源请求,资源服务器在其中验证它并提供请求(如果有效)。 此步骤将一直重复,直到访问令牌过期。
Step 6 - 如果访问令牌到期,则客户端通过授权服务器进行身份验证,并通过提供刷新令牌来请求新的访问令牌。 如果访问令牌无效,资源服务器会将无效令牌错误响应发送回客户端。
Step 7 - 客户端通过授予刷新令牌来向授权服务器进行身份验证。
Step 8 - 授权服务器然后通过验证客户端验证刷新令牌并发出新的访问令牌(如果它是有效的)。
