OAuth 2.0 - 刷新令牌

刷新令牌是可用于获取新访问令牌的凭证。

• 与访问令牌的生命期相比，刷新令牌的生命期要长得多。

• 刷新令牌也会过期，但可以使用很长时间。

• 当当前访问令牌过期或失效时，授权服务器向客户端提供刷新令牌以获取新的访问令牌。

下图展示了刷新已过期访问令牌的过程。

步骤 1 - 首先，客户端通过提供授权许可向授权服务器进行身份验证。

步骤 2 - 接下来，授权服务器对客户端进行身份验证，验证授权许可，并在有效的情况下向客户端颁发访问令牌和刷新令牌。

步骤 3 - 然后，客户端通过提供访问令牌向资源服务器请求受保护的资源。

步骤 4 - 资源服务器验证访问令牌并提供受保护的资源。

步骤 5 - 客户端通过授予访问令牌向资源服务器发出受保护的资源请求，资源服务器会验证令牌，如果有效，则会响应请求。此步骤会一直重复，直到访问令牌过期。

步骤 6 - 如果访问令牌已过期，则客户端使用授权服务器进行身份验证，并通过提供刷新令牌请求新的访问令牌。如果访问令牌无效，则资源服务器会向客户端发回无效令牌错误响应。

步骤 7 - 客户端通过授予刷新令牌向授权服务器进行身份验证。

步骤 8 - 授权服务器随后通过对客户端进行身份验证来验证刷新令牌，并在有效的情况下颁发新的访问令牌。