Nos estamos integrando con un proveedor que tiene una implementación única de OAuth 2.0 (para nosotros): con cada solicitud de actualización, nos envían un nuevo token de actualización junto con el token de acceso.
Dicen que esto era necesario como parte de su trabajo para obtener SOC2, pero no puedo evitar pensar que interpretaron mal algo que recomendaban sus asesores de seguridad.
¿Alguna idea sobre cuál puede ser el razonamiento sobre esto?