Документы oauth говорят:
Каждый access_token действителен в течение 1 часа, а каждый токен обновления действителен в течение 14 дней. Чтобы использовать refresh_token для получения нового access_token, отправьте запрос POST на https://api.box.com/oauth2/token
В этом ответе вы получите как новый access_token, так и refresh_token. Токен refresh_token, который вы использовали для этого запроса, больше недействителен.
Вопросы: 1) Если случайно я не могу сохранить этот новый refresh_token, тогда старый refresh_token недействителен?
2) Разве не может быть токена обновления, который действителен всегда, и мы генерируем только access_token?