SpringブートでのJWTトークンライフタイムの実際の動作

Question

JWTトークンを使用してOauth2.0を実装しました。これは、基本的にSpringブートで動作するようです。

質問1：私はこのURLを「access_token」と「refresh_token」を返信するために呼び出すことができます。

https://myapp/oauth/token?grant_type=password&username=______&password=_______ 

しかし、ときに私は、URLと呼ばれる再たびに、は access_tokenはとrefresh_token両方はを再生したし、それが期限切れになるまでaccess_tokenは古いはまだを使用することができます。 それは実際にどのように機能しますか？ いつでも両方を再生成しますか？

Question2：私は私のaccess_tokenはをリフレッシュする必要がある場合はまた、私はこのURL

https://myapp/oauth/token?grant_type=password&username=______&password=_______ 

私は、再び、新しいaccess_tokenは両方と新しいrefresh_tokenを得たと呼ばれます。 refresh_tokenがより新しいrefresh_tokenを生成するために使用されたことは、私にとっては非常に奇妙です。しかし、古いrefresh_tokenはまだ動作しますか？

これは既にJWTトークンが本当にうまくいかなければならないので、新しいトークンを取得するために最初のURLを呼び出すことができるときにrefresh_tokenが必要な理由を教えてください。

私はこれをいつか過ごしましたが、これらのことについて言及している明確な参照がまだ見つかりませんでした。 あなたが私にそれがうまくいくはずの正しい流れを伝えることができたら、私はそれを感謝します。 ありがとうございます。

Answer 1

質問2について：はい、あなたは新しいaccess_tokenとrefresh_tokenを取得します。 resfresh_tokenは一度しか使用できないことはあなた（またはRefreshTokenProviderの責任者）によって異なります。 このブログの記事：http://bitoftech.net/2014/07/16/enable-oauth-refresh-tokens-angularjs-app-using-asp-net-web-api-2-owin/（手順6までスクロールします）に例が示されています。