oauth2给第三方授权，access_token为什么要设置过期时间

最近在研究OAuth授权的时候, 发现有access_token和refresh
_token这么两个token;

网上看了半天也没看懂,个人主要有已下几个疑问:

1. 为什么access_token要设置过期时间, 找了很多资料都说是为了安全, 可是到底设置过期时间安全在哪里还是不太清楚？
2. 为什么要有个refresh_token? 如果有这个refresh_token的话, 那不就相当于access_token永远不会过期么, 永远刷新都会重新生成啊, 那还设置access_token的过期时间又什么用!
3. 用户一旦被授权之后, 之后第三方站点调用授权服务器中的api接口获取资源的时候, 是不是完全就只是依靠access_token了? 如果是的话, 是不是这就相当于 授权服务器 给第三方站点用户的一个密码?