認証コード付きリフレッシュトークンのOAuth2目的

Question

認証コード付与タイプを使用してOAuth2のフローを取得すると思います。 リソースの所有者がサーバーにログインし、認証コードを使用してクライアントにリダイレクトされます。クライアントは、認証コードを使用して、アクセス・トークンとリフレッシュ・トークンを認可サーバーに照会します。これは私が混乱するところです。

アクセストークンが期限切れになると、クライアントは新しいアクセストークンを取得するために認証コードまたはリフレッシュトークンを使用する必要がありますか？認可コードをお持ちの場合、なぜリフレッシュトークンが必要ですか？

注私は私がのために、このサーバー、アマゾン・アレクサ、リフレッシュトークンと認証コードの許可タイプを必要とするサービスを書いていますので、「リフレッシュトークンはオプションである」を言って答えを捜しているわけではありません。

Answer 1

認証コードRFC 6749 Section 10.5のセキュリティガイドラインに従ってoauth2サーバーを作成した場合は、それを再利用して2番目のaccess_tokenを取得することはできませんでした。

許可コードは、短命で使い捨てでなければなりません。 承認サーバーがアクセストークンの 認証コードを交換しようと複数回試行した場合、承認サーバー は、既に承諾された承認コード に基づいて既に付与されているすべてのアクセストークンを取り消そうとします。

refresh_tokenは、付与されている場合は、refresh_tokenグラントを使用して別のaccess_tokenと新しいrefresh_tokenと交換できます。この場合、refresh_tokenがまだ有効な場合、ユーザーは再認証する必要はありません。