@darknoll 普通 JWT 不需要 Refresh Token 。OAuth 才需要。注意他们的区别：

1. JWT 基本只用于对客户端的授权；特别的，经常用于浏览器并可以直接写入 Cookie 。而 OAuth 则经常用于对服务器的授权。
客户端业务逻辑除了将 JWT 发送给真正的目标之外，几乎不会将 Token 或记录到别的地方。也就是说只要本机安全（由用户自行保证）、传输层安全（ TLS ），Token 就丢不了。甚至对于浏览器来说，业务逻辑可能都看不到 JWT 的 Token 。
服务器拿到 Token 之后就不一样了，可能传输到其他服务器或存储到中间件中、可能写入日志。单一的业务逻辑很难控制。这种情况下，使用单独的、业务层不可见的 Refresh Token 就能显著提高安全性。

2. 对于客户端来说，只有用户在操作客户端时才可能发生刷新失败事件。这时候用户只要重新登录就好了；而服务器用 Token 刷新失败则可能是灾难性事件。比如当 OAuth 用于 CI 系统的拉代码逻辑，当 Token 过期且意外刷新失败时，整个 CI 都无法工作了，必须召唤管理员上线处理。这导致 OAuth 必须有一个强健的刷新逻辑。