Срок действия токенов доступа OAuth2 для мобильного приложения истекает?

Принятый здесь ответ на вопрос , почему истекает срок действия токенов доступа OAuth2 :

• . Многие провайдеры поддерживают токены на предъявителя, которые очень слабо защищены -. Делая их недолго -живущими и требующими обновления, они ограничивают время, в течение которого злоумышленник может злоупотреблять украденным токеном.(Что это значит? Я так понимаю, это означает разрешить передачу без TLS? Что-нибудь еще?).
• Крупномасштабное развертывание не требует выполнения поиска в базе данных при каждом вызове API, поэтому вместо этого они выдают токен доступа с собственной кодировкой -, который можно проверить путем расшифровки. Однако это также означает, что эти токены нельзя отозвать, поэтому они выпускаются на короткое время и должны обновляться.
• Токен обновления требует аутентификации клиента, что делает его более надежным. В отличие от указанных выше токенов доступа, он обычно реализуется с поиском в базе данных.

Предполагая, что мы не поддерживаем незашифрованную -передачу токена доступа, мы позаботимся о первом пункте.

Предполагая, что у нас все в порядке с поиском в базе данных по отзывному токену, полностью произвольный доступ позаботится о втором.

Для мобильных приложений аутентификация клиента не может быть более строгой, поскольку «идентификатор клиента _и секрет клиента _, полученные при регистрации, встроены в исходный код вашего приложения. В этом контексте секрет клиента _, очевидно, не рассматривается как тайна».(Гугл). Это устраняет третью проблему.

Итак, в чем преимущество разделения краткосрочных -токенов доступа и долгоживущих -токенов обновления в этом сценарии? Можно ли просто выдавать токены доступа, срок действия которых не истекает -, и игнорировать всю часть токена обновления?