Supongamos que tengo un token de actualización que caducará en 14 días. Y tengo un token de acceso que caduca en 20 minutos.
¿Qué pasaría si cada vez que actualizas el token de acceso (usando el token de actualización), el servidor te devuelve un token de actualización más reciente con un vencimiento de 14 días desde la actualización del token de acceso?
¿Es esta una mala idea? ¿Por qué o por qué no?
Depende del tipo de sistema que quieras crear.
Requerir una actualización del token de actualización es molesto, ya que los usuarios deben ingresar su contraseña nuevamente (o cualquiera que sea el proceso). Si se trata de un proceso automatizado, como una aplicación que se ejecuta sin supervisión en un servidor, esto se convierte no solo en un problema de UX, sino también en uno de estabilidad, ya que el sistema se interrumpirá si alguien no recuerda iniciar sesión y obtener manualmente una nueva. token de actualización.
Sin embargo, hay una razón por la que ves este tipo de configuración. Por ejemplo, Google lo desconecta de todas sus aplicaciones web todos los meses, lo que impide que alguien que tenga acceso a su cuenta (computadora portátil robada, se haya registrado en una biblioteca, etc.) mantenga ese acceso indefinidamente.
Lea otras preguntas en las etiquetas authentication oauth