Я прочитал здесь Интересно, должен ли сервер когда-либо просто отозвать токен обновления через определенный период времени и просто заставить пользователя снова войти в систему? Я не могу вспомнить, когда мне в последний раз приходилось вводить свои учетные данные для входа в Gmail.
Что делают банки (или любые сайты, на которых хранятся конфиденциальные данные), если определенный пользователь обновляет свой токен в течение 200 дней? Должны ли они позволить пользователю продолжать использовать сайт? Я понимаю, что это связано с взаимодействием с пользователем, поэтому это не то, что легко автоматизировать.