Leyendo sobre JWT Veo que es una práctica común incluir un token de actualización junto con el token de vida corta. Por lo general, parece que tiene un token de corta duración que dura un breve período de tiempo, como 15 minutos, y un token de actualización que renueva este token cuando caduca. Según tengo entendido, si el token de vida corta ha caducado, la aplicación debe verificar que el token de actualización no haya sido revocado (verifique la base de datos). Si no lo ha hecho, emita un nuevo token de corta duración. Estoy tratando de entender por qué no tener un solo token de corta duración.
Supongamos que el token jwt contiene el nombre de usuario del usuario que usa el token y caduca en 1 hora. Cuando caduque, no puede mi servidor de aplicaciones verificar este token para asegurarse de que realmente haya caducado y haya sido emitido por mí, si es así, verifique (dentro de la base de datos) que este usuario pueda renovar y renovar su token. ¿No es esto esencialmente lo mismo que tener un token de actualización, pero es un poco más simple ya que el usuario solo tiene 1 token en lugar de 2? ¿No puedo ver la ventaja de tener un token de actualización?