Не могу понять в какой момент создается refreshToken а когда acces?

Question

[Habr_Agent]

Когда нужен рефрештокен а когда аццес?

Comments

[AlexAll]

Попробую на пальцах. У acces токена есть время жизни, и когда он протухает, тогда перед другими запросами, отправляется refreshToken, чтобы получить новый acces и refreshToken, после чего отправляется нужный запрос

Answer 1

[Владимир Дубровин]

В "классическом" варианте, access token это короткоживущий токен для доступа к конечному ресурсу, refresh token это долгоживущий токен, который служит для получения access token'а, он отправляется не на конечный ресурс, а на сервер OAuth. Если вам надо сделать разовое действие, то refresh не требуется, при авторизации вы сразу получаете access token и refresh token и можете не хранить refresh. Если вам надо делать регулярные действия (например проверять не пришли ли новые письма или не появились ли новые события календаря), то access token через некоторое время протухает, и чтобы получить новый надо его обновить, получив от OAuth сервера новый access с помощью refresh token'а

Comments

[Habr_Agent]

Т.е как я понял я делаю запрос на авторизацию мне приходит два токена если 1 истек то я делаю запрос на рефреш и отдаются новые две пары. Спасибо за емкий ответ

[Владимир Дубровин]

Habr_Agent, создается новый access, refresh не меняется

[szQocks]

Habr_Agent, рефреш токен обновляется в одном случае обычно, это когда ты отправляешь запрос на обновление токенов, то есть ты отправляешь свой рефреш токен на получение новых аксес и рефреш - это нужно делать тогда когда аксес истёк