Realmente no entiendo en absoluto el escenario de protección cuando se roba un token de actualización. Por favor explique.
Digamos que existe esta situación: el usuario está autorizado en una aplicación móvil y esta aplicación contiene dos tokens: un token de acceso de corta duración y un token de actualización de larga duración. Ahora, el atacante de alguna manera roba ambos tokens del dispositivo del usuario e inmediatamente usa el token de actualización para obtener un nuevo par de tokens, haciendo que los tokens antiguos sean inválidos. Después de eso, cuando el usuario intente usar su token de actualización anterior, no será válido y tendrá que iniciar sesión nuevamente con su contraseña.
En este punto, el servidor debe invalidar todos los demás tokens de actualización para evitar un uso adicional por parte de un atacante. Pero, ¿cómo implementar la autorización de múltiples dispositivos para un usuario, si solo hay un token de actualización disponible a la vez?