я думал так: выдается access_token - срок жизни, скажем 10 минут. вместе с ним - refresh_token - срок жизни - не ограничен. когда access_token - протух, то нужно обновить его с помощью refresh_token. В этот момент - сервер авторизации по идее - должен вернуть новый access_token и refresh_token. Причем старый refresh_token - должен стать недействительным. Разве не так?
зависит от реализации конечно, но если в лоб, то вполне вероятно, что рефреш токен реализован примерно так же как и основной. Соответственно, что неограниченный токен и будет всегда валиден. Но это не точно.
я думал так: выдается access_token - срок жизни, скажем 10 минут. вместе с ним - refresh_token - срок жизни - не ограничен. когда access_token - протух, то нужно обновить его с помощью refresh_token. В этот момент - сервер авторизации по идее - должен вернуть новый access_token и refresh_token. Причем старый refresh_token - должен стать недействительным. Разве не так?
я юзал со настройками по умолчанию, у refresh-token есть срок чуть больше чем у access. И при рефреше выдается полностью новый access и refresh token