Я видел, как люди отправляли refreshtoken и пользователя, но если я делаю refreshtoken как accesstoken, но с другим secretkey, тогда, когда они хотят обновить, они просто отправляют токен обновления и получают пользовательская информация оттуда?
Это нормально? Должен ли я поставить ту же информацию о пользователе, чтобы сделать токен обновления? Когда мне присылают токен рефреха, я должен проверить его и обращаться с ним так же, как с accesstoken?