Oauth 刷新令牌生命周期？

规范没有强制执行时间限制。但是，保持令牌生命周期尽可能短是一个很好的安全实践。

TLDR；最佳实践是避免频繁的重新身份验证，即保持较短的刷新令牌生命周期，但允许获取新的刷新令牌而无需重新身份验证。

1. 授权
2. 得到

   access_token

   和

   refresh_token

3. 使用

   refresh_token

请求新代币
4. 返回新的

   access_token

   和新的

   refresh_token

（可选）在“总”生命周期后要求重新验证，这意味着第 4 步中不会返回新的

refresh_token

由于规范中未指定，因此您将遇到不同提供商的不同规则。

如果您可以控制 authz 提供程序并且希望避免过于频繁地重新进行身份验证，则可以在每次获取访问令牌（并且还请求刷新令牌）时生成一个新的刷新令牌。

某些实现将强制执行“总”生命周期，即，您可以不断获取新的刷新令牌，直到达到该“总”生命周期。然后，您需要重新验证才能开始新的“总”生命周期。