Access Token и Refresh Token содержат поля, которые определяются стандартом (например, JWT для Access Token) или политиками безопасности сервера. **Access Token** обычно включает: - `sub` (subject) – идентификатор пользователя - `exp` (expiration) – срок действия - `scope` – разрешённые действия (например, `read:profile`) - Дополнительные claims (например, `email`, `roles`) **Refresh Token** чаще всего: - Произвольная уникальная строка (без структуры) - Связывается с пользователем в базе сервера - Имеет больший срок жизни, чем Access Token Пример JWT Access Token: ``` import jwt token = jwt.encode( {"sub": "user123", "exp": 1710000000, "scope": "read write"}, "secret_key", algorithm="HS256" ) ``` Refresh Token обычно генерируется как криптостойкий случайный токен (например, через `secrets.token_urlsafe()`).