Принятый здесь ответ на вопрос , почему истекает срок действия токенов доступа OAuth2 :
Предполагая, что мы не поддерживаем незашифрованную -передачу токена доступа, мы позаботимся о первом пункте.
Предполагая, что у нас все в порядке с поиском в базе данных по отзывному токену, полностью произвольный доступ позаботится о втором.
Для мобильных приложений аутентификация клиента не может быть более строгой, поскольку «идентификатор клиента _и секрет клиента _, полученные при регистрации, встроены в исходный код вашего приложения. В этом контексте секрет клиента _, очевидно, не рассматривается как тайна».(Гугл). Это устраняет третью проблему.
Итак, в чем преимущество разделения краткосрочных -токенов доступа и долгоживущих -токенов обновления в этом сценарии? Можно ли просто выдавать токены доступа, срок действия которых не истекает -, и игнорировать всю часть токена обновления?