В отношении безопасности есть одна вещь, которую я никогда не понимал в OAuth, и я ссылаюсь на sh токены. Refre sh токены должны быть долгоживущими, верно? Токен доступа недолговечен. Это делается так, что периодически сервер аутентификации контролирует предоставление пользователям доступа (так как они предположительно самопроверяются, как JWT).
Это означает (если не происходит никаких странностей) сервер ресурсов запросит новый токен доступа от моего имени, когда мой токен доступа истек. Это означает, что пользовательский сеанс в основном будет действовать в течение того же периода времени, что и токен refre sh.
Как это не противоречит обычному сеансу без oauth, который всегда должен быть настолько же коротким, насколько функционально управляемым? Если злоумышленник получит доступ к токену доступа, он сможет использовать его очень долго.