Иногда это помогает подумать о другой стороне проблемы, например, эмитент токена, а не владелец токена.
Пример
Представьте, что чья-то учетная запись была удалена / заблокирована администраторами.
В системе токенов нет способа аннулировать все текущие токены - главная точка токенов в стиле JWT заключается в том, что обладание действительным токеном позволяет избежать централизованных проверок (на самом деле то же самое верно сеансовых куки тоже реально).
Проблема с системой с одним токеном
Таким образом, чтобы сделать это более эффективным / удобным, в настройке с одним токеном срок службы этого токена иногда довольно велик, что означает, что владелец ( носитель ) может иметь доступ в течение нескольких часов или дней. О, дорогой.
Решение: обновить токен
Система маркеров обновления, как сказано в руководстве Auth0, позволяет сократить этот нормальный срок службы (например, до минут или секунд), прежде чем потребуется выполнить обновление. На этой точке сервер / централизованный контроль может проверить, была ли заблокирована эта учетная запись или все еще действительны разрешения, и соответственно выдать новый токен доступа. Это все еще достаточно долго, чтобы обеспечить прирост производительности, не вызывая поток аутентификации все время (и, конечно, не отправка учетных данных)
Другой вариант использования
Аналогичным случаем использования является потеря пользователем телефона / устройства, и они должны (эффективно) отозвать токен, который у него был.
Надеюсь, это немного поможет.