Пытаюсь накатать собственный бек для простенького приложения (pet-проект), сейчас пишу модуль авторизации на JWT. Перелопатил кучу статей и вопросов на эту тему, как генерится access токен - предельно ясно, но вот откуда берется refresh - осознать категорически не получается. Везде пишется, что он идет прицепом к access токену, но вот каков мехенизм его генерации - покрыто мраком.
Натыкался на ответ здесь на хабре, что мол это рандомно генерируемое значение, но так ли это?
Грубо говоря, как я понял - access мы генерим по механизму JWT, а refresh - просто спонтанно генерится, не опираясь ни на что? Или как это вообще работает?
Нужно мне это для полного понимания механизма авторизации, чтобы я не просто это написал/спер с готового репозитория, но и мог внятно пояснить, почему оно именно так работает.
Если, вдруг, кому-то будет интересно в будущем: рефреш токен действительно генерится рандомно, как угодно разработчику. Я так понимаю, что это регламентируется внутренней документацией каждой отдельно взятой конторы.
Простой
