Refresh-tokens är en central del av OAuth 2.0 och OpenID Connect, som möjliggör för klientapplikationer att förnya utgångna access-tokens utan att användaren behöver logga in igen, vilket balanserar säkerhet, användbarhet och integritet. Artikeln förklarar skillnaden mellan tre token-typer: ID-tokens (för användaridentitet), access-tokens (för att komma åt skyddade resurser) och refresh-tokens (för att förnya access-tokens). Säkerhet är avgörande; access-tokens bör ha kort livslängd, och refresh-tokens, som är kraftfulla, måste hanteras säkert av auktorisationsservrar för att förhindra obehörig åtkomst. Olika OAuth 2.0-flöden, som Authorization Code Flow och Implicit Flow, avgör när och hur refresh-tokens ska användas, med rekommendationer för att undvika sårbarheter som de i Implicit Flow, särskilt för Single-Page Applications (SPAs).