Khi access token hết hạn truy cập, client gửi refresh token đến authorization server để được cấp access token mới

Được sinh ra bởi Authorization server, cùng lúc với access token nhưng lại khác nhau về chức năng. Refresh token sẽ được gửi đi để lấy về một access token mới khi nó hết hạn, cũng chính vì vậy nó có thời gian hiệu lực lâu hơn access token. Với access token thời gian hiệu lực có thể là 2 giờ thì refresh token có thể lên đến 10 giờ.

Việc có mặt của refresh token giúp cho Client có thể lấy lại được access token mà không cần phải nhận xác thực lại từ phía người dùng. Nếu người dùng đăng xuất, refresh token cũng sẽ bị xóa theo.

Nguồn:: Viblo, Tìm hiểu đôi chút về OAuth2