Принятый ответ здесь относительнопочему срок действия маркеров доступа OAuth2 истекает:

Many providers support bearer tokens which are very weak security-wise. By making them short-lived and requiring refresh, they limit the time an attacker can abuse a stolen token. (What does this mean? I take it to mean allow transmission without TLS? Anything else?). Large scale deployment don't want to perform a database lookup every API call, so instead they issue self-encoded access token which can be verified by decryption. However, this also means there is no way to revoke these tokens so they are issued for a short time and must be refreshed. The refresh token requires client authentication which makes it stronger. Unlike the above access tokens, it is usually implemented with a database lookup.

Предполагая, что мы не поддерживаем незашифрованную передачу токена доступа, мы позаботимся о первом пункте маркера.

Предполагая, что у нас все в порядке с поиском в базе данных по отзывному токену с полностью произвольным доступом, позаботимся о втором.

Для мобильных приложений аутентификация клиента не может быть более строгой, поскольку "client_id" и "client_secret", полученные при регистрации, встроены в исходный код вашего приложения. В этом контексте client_secret, очевидно, не рассматривается как секрет. & Quot; (Google). Это устраняет третью проблему.

Так в чем же преимущество разделения краткосрочных токенов доступа и долгоживущих токенов обновления в этом сценарии? "Хорошо"? просто выдать токены доступа с истекающим сроком действия и игнорировать всю часть токена обновления?