В чём разница между access token и refresh token?

Question

Access token используется для доступа к API и имеет короткий срок жизни. Refresh token нужен для получения нового access token и живёт дольше. Access token отправляется часто, refresh token — редко. Потеря access token менее критична, чем утечка refresh token. Поэтому refresh token защищают строже.

YeaHub · Accepted Answer

Несмотря на то что оба токена участвуют в авторизации, access token и refresh token выполняют разные функции.Access tokenAccess token предназначен для повседневной работы приложения.Основные характеристики:Используется в каждом защищённом запросеИмеет короткий срок действияМожет быть легко заменёнОбычно передаётся в заголовке AuthorizationRefresh tokenRefresh token используется для управления сессией пользователя.Основные характеристики:Используется только для обновления access tokenИмеет длительный срок жизниТребует более строгой защитыЧасто хранится в cookiesПочему это важно для frontendFrontend должен:Быстро реагировать на истечение access tokenУметь автоматически обновлять авторизациюМинимизировать количество ручных логиновПотенциальные рискиУтечка access token → временный рискУтечка refresh token → полный контроль над сессиейВывод:Access token отвечает за доступ, refresh token — за продление сессии, и их разделение является ключевым элементом безопасной JWT-авторизации.