Abschnitt 4.2 des Entwurfs des OAuth 2.0-Protokolls gibt an, dass ein Autorisierungsserver sowohl eine access_token (das verwendet wird, um sich bei einer Ressource zu authentifizieren) sowie eine refresh_token die lediglich dazu dient, eine neue access_token :
https://www.rfc-editor.org/rfc/rfc6749#section-4.2
Warum sollte man beides haben? Warum nicht einfach die access_token so lange dauern wie die refresh_token und nicht über eine refresh_token ?
