Ваш вопрос немного неясен и предполагает некоторые вещи, которые могут быть неправдой. Ни токены доступа, ни refre sh токены не должны быть JWT, а JWT не указываются c для OAuth2 (который определяет токены доступа и refre sh, но не говорит, как они должны быть реализованы).
Аудитория для токенов доступа и refre sh токенов также различна - токены доступа отправляются (возможно, на отдельный) ресурсный сервер (сервер авторизации выдачи может даже не сохранить копию, если они самодостаточны). Refre sh токены отправляются на сервер авторизации.
Размещение токенов любого типа в базе данных (при условии, что они не являются автономными токенами, такими как JWT), никогда не должно быть проблемой, поскольку они должны быть уникальными токенами. которые делают идеальные первичные ключи для таблицы базы данных. Таким образом, не было бы никакой причины отправлять маркер доступа с истекшим сроком действия как часть запроса refre sh.
Кстати, добро пожаловать в Stack Overflow:).