В API, который мы разрабатываем, токены доступа уникальны. Под этим я подразумеваю, что на приложение и пользователя может быть только один токен доступа.
Следствием этого является то, что если пользователь аутентифицирует одно и то же стороннее настольное приложение на двух компьютерах, только у второго будет действительный токен доступа, а первому придется снова пройти процесс аутентификации (первый токен доступа будет были признаны недействительными).
С точки зрения пользовательского опыта это неоптимально. С точки зрения безопасности это дает незначительную выгоду.
Интересно узнать, как другие реализовали токены доступа в своих API. Один на пользователя и приложение или несколько?