OAuth 2.0 - 刷新令牌

刷新令牌是可用于获取新访问令牌的凭据。

• 与访问令牌的生命周期相比，刷新令牌的生命周期要长得多。

• 刷新令牌也可能会过期，但寿命很长。

• 当当前访问令牌过期或失效时，授权服务器向客户端提供刷新令牌以获取新的访问令牌。

下图展示了刷新过期Access Token的过程。

步骤 1 - 首先，客户端通过授予授权来向授权服务器进行身份验证。

步骤 2 - 接下来，授权服务器对客户端进行身份验证，验证授权授予并向客户端颁发访问令牌和刷新令牌（如果有效）。

步骤 3 - 然后，客户端通过提供访问令牌向资源服务器请求受保护的资源。

步骤 4 - 资源服务器验证访问令牌并提供受保护的资源。

步骤 5 - 客户端通过授予访问令牌向资源服务器发出受保护的资源请求，资源服务器验证它并为该请求提供服务（如果有效）。不断重复此步骤，直到访问令牌过期。

步骤 6 - 如果访问令牌过期，客户端将向授权服务器进行身份验证，并通过提供刷新令牌来请求新的访问令牌。如果访问令牌无效，则资源服务器向客户端返回无效令牌错误响应。

步骤 7 - 客户端通过授予刷新令牌来向授权服务器进行身份验证。

步骤 8 - 然后，授权服务器通过对客户端进行身份验证来验证刷新令牌，并颁发新的访问令牌（如果有效）。