Leggendo su JWT, vedo che è prassi comune includere un token di aggiornamento insieme al token di breve durata. Così comunemente sembra che tu abbia un token di breve durata che dura per un breve periodo di tempo, ad esempio 15 minuti, e un token di aggiornamento che rinnova questo token quando è scaduto. Dalla mia comprensione se il token di breve durata è scaduto, l'app deve verificare che il token di aggiornamento non sia stato revocato (controllare il database). In caso contrario, emettere un nuovo token di breve durata. Sto cercando di capire perché non avere un solo token di breve durata.
Supponiamo che il token jwt contenga il nome utente dell'utente che utilizza il token e scade tra 1 ora. Alla scadenza, il mio server applicazioni non può verificare questo token per verificare che sia effettivamente scaduto e che sia stato emesso da me, in tal caso controllare (all'interno del database) che questo utente possa rinnovare il proprio token e rinnovarlo. Non è essenzialmente come avere un token di aggiornamento, ma è un po 'più semplice dato che l'utente ha solo 1 token invece di 2? Non riesco a vedere il vantaggio di avere un token di aggiornamento?