Я пытаюсь реализовать Oauth2 с Jwt в моем приложении.У меня есть одно сомнение: почему мне нужно меньшее время истечения до access_token
и большее время истечения до refresh_token
.
Что я хочу сказать, так это то, что я могу иметь access_token
сболее длительное время истечения, и я буду защищать access_token
, как я защищаю refresh_token
, нет необходимости только в refresh_token
.Имеет ли это смысл?
Так что, если я игнорирую refresh_token из своего приложения, столкнусь ли я с проблемой юзабилити или с безопасностью?