Зачем нужно обновлять токены доступа oauth2?

Question

[ArrayPop]

Речь идет о access_token и refresh_token. Не понятно зачем нужно обновление токена доступа. Человек получает токен доступа и работает с api каким либо,после истечению срока токена ему нужно получить refresh токен для обновления access_token.Ну во первых можно же увеличить срок жизни токена чтобы не обновлять его,во вторых когда срок действия токена истечет (например месяц) как и с обычной авторизацией через сессии можно было бы уже разлогинить пользователя и заставить его получать токен по новой. В чем же необходимость обновления токена не пойму,если он при каждой авторизации создается заного?

Answer 1

[Denis]

Если быстро и примитивно:
Иногда случается что "человеку1" нужно провести какие то важные операции вот прямо сейчас (допустим перевести денег с карты на карту) он заходит на какой-то сайт (который использует oauth2) начинает производить манипуляции в аккаунте и каждый запрос на сервер сайте уходит с access_token, и вроди как все хорошо, но вот немного усложним человек находится в метро (кафе) и пользуется публичным wifi и "рядом" сидит "человек2" (даже не обязательно администратор этой wifi очки), который может запустить снифер который может считать этот токен и воспользоваться им по своим нуждам.
Но в силу того что access_token имеется не большой срок службы, есть большая вероятность, что "человек2" не успеет им воспользоваться т. к. сработает refresh_token, а новые токены допустим будут получены когда "человек1" уже выйдет из метро (кафе), и будет подключен в другой сети.