Refresh token — долгоживущий токен, который используется для получения нового access token без повторного ввода пароля. Флоу: юзер логинится — получает пару access + refresh. Access живёт 15 минут, refresh — неделю. Когда access истекает, клиент отправляет refresh на специальный эндпоинт и получает новую пару. Refresh token хранится в httpOnly cookie или secure storage. Если refresh тоже истёк — юзер логинится заново. Это компромисс между безопасностью (короткий access) и UX (не просить пароль каждые 15 минут).