之前只是知道refresh token是用于刷新access token的，却不知道refresh token凭什么可以刷新access token？也就是知其然，不知其所以然。这是由于之前没有发现refresh token与access token有1个非常重要的区别——Refresh token只是一种标识，不包含任何信息；而access token是经过序列化并加密的授权信息，发送到服务器时，会被解密并从中读取授权信息。本文链接：ASP.NET OWIN OAuth：refresh token的持久化，转载请注明。