Чем refresh token flow отличается от long-lived access token и когда что выбрать?

JavaMiddleSpring Security и AuthСравнениеjava|spring security и auth|refresh|refresh token flow

Что хотят услышать интервьюеры:

Сравнение: refresh token flow стоит сравнивать с long-lived access token по критериям читаемости, безопасности, производительности, тестируемости и поддержки командой.

Ответ:

Когда выбирать refresh token flow: когда его свойства прямо соответствуют задаче: refresh token позволяет обновлять access token без повторного логина.

Слабый ответ: “так принято в Spring/Java”. На собеседовании лучше объяснить ограничения и цену выбора. 

// short access token + refresh rotation

Источники

Похожие вопросы

Spring Security и Auth Как правильно применять refresh token flow в реальном Java/Spring проекте? Spring Security и Auth Какая типичная ошибка при работе с refresh token flow и как ее избежать? Spring Security и Auth Как правильно применять input validation vs authorization в реальном Java/Spring проекте? Spring Security и Auth Как правильно применять authentication vs authorization в реальном Java/Spring проекте?