Зачем использовать разные типы токенов в OAuth

В настоящее время я пишу код для работы с oAuth (используя API Azure Graph, но я думаю, что API Google похожи).

Чтобы сделать вызов API, мне нужен токен доступа, срок действия которого составляет около одного часа. Чтобы получить токен доступа, мне нужно сначала заставить пользователя авторизовать использование моего приложения, что дает код авторизации, срок действия которого составляет около десяти минут. Одновременно с получением токена доступа я также могу получить токен обновления, срок действия которого обычно составляет 90 дней. Тем не менее, я могу получить новый токен обновления до истечения срока его действия, чтобы гарантировать сохранение действующего токена обновления.

Итак, есть три типа кодов/токенов, с которыми приходится иметь дело.

Зачем нужны все эти разные коды и токены? Почему бы просто не предоставить код авторизации со сроком действия 90 дней и покончить с этим?

Прав ли я, предполагая, что если срок действия моего токена обновления истечет, мне придется вернуться к началу цепочки и снова запросить доступ у моего пользователя?