Non capisco assolutamente lo scenario di protezione quando un token di aggiornamento viene rubato. Per favore, spiega.
Diciamo che c'è questa situazione: l'utente è autorizzato in un'app mobile e questa app contiene due token: un token di accesso a vita breve e un token di aggiornamento a lunga vita. Ora, l'attaccante in qualche modo ruba entrambi i token dal dispositivo dell'utente e usa immediatamente il token di aggiornamento per ottenere una nuova coppia di token, rendendo invalidi i vecchi token. Dopodiché, quando l'utente tenta di utilizzare il suo vecchio token di aggiornamento, non sarà più valido e dovrà riconnettersi utilizzando la sua password.
A questo punto, il server dovrebbe invalidare tutti gli altri token di aggiornamento per impedire l'ulteriore utilizzo da parte di un utente malintenzionato. Ma in che modo implementare più autorizzazioni di dispositivo per un utente, se è disponibile un solo token di aggiornamento in una sola volta?