Сори, там я выше ерунду написал про то что клиент вычисляет токены из хеша. Присмотрелся в хеше там там просто последовательно указан id_token и access_token и еще порция информации.
Но у меня в клиент все таки этот хеш и ключи шифрования передавались в функцию ValidateResult(хеш, ключи) что он там валидировал не понятно, но токены вот они их видно. access_token можно уже подписывать обращение к API


Что храниться в id_token (Токен с данными о пользователе для клиента)

Информация о пользователе, иногда чтобы не делать его слишком длинным полную информацию туда не пишут, если надо сами возьмете на урле " http://localhost:44318/connect/userinfo"
а вот что храниться в access_token (Токен с нужными данными для доступа к API)


Вот, когда вы подписывает ваше обращение к WebAPI этим access_token то на сервере ресурса WebAPI midelware автоматически на лету расшифровывает его и понимать какие у вас роли и допуски. После этого начинает работать магия анотация типа [Authorize(Roles="admin")]

по поводу как оно рефрешит access_token, щас точно не скажу, попробую описать потом. Но то что я видел. Когда приходит к вам callback от сервера после первой авторизации пользователя, там в callback видят срок действия токена и там сразу заряжают таймер
setTimeout(function, milliseconds) и выставляют время когда на тот момент когда токен протухнет или чуть раньше.
Таймер потом сработает вызовет функцию которая получить новый токен, который завершиться опять callback-ом и процесс будет повторятся сколько надо.