OAuth2のRefresh Tokenは紐付いたProtected Resourceを複数持ってるAuthorization Serverのためにある

OAuth2のRefresh Tokenって紐付いたProtected Resourceを複数持ってるAuthorization Serverのためにあるんだ

Protected Resourceの一部がクラックされて、Access Tokenが漏れることが考えられる

このためにAccess Tokenの有効期限を短くするが、そのままやると何度も認証させられてダルい

cronとかで回すやつがそんなんだったら嫌ですよね？

ここで、Public Clientだったらもう諦めて何度も認証するしかないが、認証情報を安全に保持できることが仮定されているConfidential Clientなら、Refresh Tokenを持っておくことでAccess Tokenを再取得できる

つまり、Serverのほうの安全のための技術であって、Clientの安全の技術ではない