Я вижу, что большинство людей говорят, что когда мы используем токен обновления для обмена на новый токен доступа, сервер аутентификации выдаст новый токен обновления и сделает недействительным предыдущий.См. Рекомендации по обновлению OAuth-обновления токенов
Но с веб-сайта OAuth https://www.oauth.com/oauth2-servers/access-tokens/refreshing-access-tokens/
В нем говорится, что сервер аутентификации может "дополнительно выдать новый свежий токен в ответ, или еслимы не включаем новый токен обновления, клиент предполагает, что текущий токен обновления будет оставаться действительным "
Таким образом, похоже, что оба параметра (сохранить или обновить токен обновления) приемлемы для стандарта OAuth2.
Мои вопросы:
1) Оба варианта одинаково безопасны?
2) Если сервер аутентификации возвращает новый токен обновления, но клиент не получает (например, ошибка сети), клиент не может повторно получить токен доступа с существующим токеном обновления, который уже аннулирован.Правильно?
3) Если токен обновления был передан кому-то еще, его могут использовать как злоумышленник, так и клиент-жертва.Если сервер аутентификации использует подход обновления, то только первый, кто использует токен обновления, может повторно получить токен доступа.Таким образом, если жертва обнаружила, что токен обновления больше не действителен, он может подумать, что токен обновления был скомпрометирован.В этом ли причина «подхода обновления»?