Ho uno scenario in cui un utente ha un token di aggiornamento. Mentre quel token sta per scadere, il client invia il token di aggiornamento al server di autenticazione per ottenere un nuovo token di aggiornamento. Questo di solito accade su dispositivi mobili e talvolta la risposta non viene ricevuta - la connessione viene interrotta o il browser è chiuso.
Al momento, l'utente ha ancora il vecchio token di aggiornamento che sta per scadere.
Inoltre, dal momento che il server di autenticazione ha emesso un nuovo token, il server di autenticazione restituisce al client 5 minuti per riprovare, quindi revoca il vecchio token se non ha ricevuto alcun commento.
Quando l'utente riapre il browser, si accorge di essere disconnesso perché non ha ricevuto il nuovo token e il vecchio token è stato revocato.
Ovviamente per risolvere questo problema, non potevo revocare il vecchio token, o dargli più tempo come 24 ore prima che fosse revocato. C'è qualche rischio per la sicurezza nel fare questo? Significa che ci sono due token di aggiornamento, ma suppongo che se i token di aggiornamento possono essere utilizzati solo con il server di autenticazione, il server di autenticazione potrebbe revocare l'altro se vengono utilizzati per tentare di ottenere un nuovo token di aggiornamento. È normale?