Вопрос проверяет понимание различий в назначении, сроке жизни и уровне безопасности токенов.
Access token используется для доступа к API и имеет короткий срок жизни. Refresh token нужен для получения нового access token и живёт дольше. Access token отправляется часто, refresh token — редко. Потеря access token менее критична, чем утечка refresh token. Поэтому refresh token защищают строже.
Несмотря на то что оба токена участвуют в авторизации, access token и refresh token выполняют разные функции.
Access token предназначен для повседневной работы приложения.
Основные характеристики:
Используется в каждом защищённом запросе
Имеет короткий срок действия
Может быть легко заменён
Обычно передаётся в заголовке Authorization
Refresh token используется для управления сессией пользователя.
Основные характеристики:
Используется только для обновления access token
Имеет длительный срок жизни
Требует более строгой защиты
Часто хранится в cookies
Frontend должен:
Быстро реагировать на истечение access token
Уметь автоматически обновлять авторизацию
Минимизировать количество ручных логинов
Утечка access token → временный риск
Утечка refresh token → полный контроль над сессией
Вывод:
Access token отвечает за доступ, refresh token — за продление сессии, и их разделение является ключевым элементом безопасной JWT-авторизации.
