Se un utente o un utente malintenzionato ha un token di aggiornamento, possono facilmente chiedi un token di accesso e quindi accedi a qualsiasi risorsa protetta. Questa è la definizione di token di aggiornamento / accesso. Avrebbero anche avuto accesso per tutto l'anno, anche se anche se lo avessero avuto per un giorno, avrebbero potuto fare altrettanto danno. Anche con tempi di scadenza molto brevi, se fossero in grado di ottenere un token in primo luogo, potrebbero replicare ciò che hanno fatto la prima volta per ottenere più token.
Ora, chiunque può ottenere il token di aggiornamento? A meno che il loro computer non sia già stato compromesso. Il fatto di farlo da remoto verrà probabilmente bloccato dall'ADFS tramite i metodi solo sicuri / solo HTTP, forzandoli a essere trasmessi tramite una connessione crittografata e impedendo la dispersione di JS (le piattaforme non web avranno protezioni simili). Se qualcuno è in grado di entrare fisicamente sul computer e vedere il cookie, allora potrebbe anche solo scaricare un keylogger comunque.