граничить количество входов в систему для каждого клиентского приложения в конкретном клиенте SPA с типом предоставления - неявный

Это выходит за рамки Identity Server

Решения пробовали -

Токены доступа сохранились в БД, однако при таком подходе клиент продолжал обновлять токен доступа, не обращаясь к коду, потому что запрос браузера клиента идет с действительным токеном, хотя срок его действия истек, а при автоматической аутентификации обновляется токен из-за выпуска нового ссылочного токена (который может будет видно в таблице persistGrants token_type 'reference_token')

Событие cookie - для validateAsync - не очень удачно, хотя это работает только для веб-сервера, мы не можем поместить эту логику в библиотеку oidc на стороне клиента для SPA.

Пользовательский signInManager путем переопределения SignInAsync - но выполнение не достигает этой точки в режиме отладки, потому что IDM продолжал распознавать, что у пользователя есть действительный токен (хотя срок его действия истек), продолжал повторно выдавать токен (обратите внимание, что здесь нет токена обновления для управления это путем хранения и изменения !!!)

Любые подсказки, как IDM повторно выдает токен, не выводя пользователя на экран входа в систему, даже если срок действия токена истек ?? (Тихая аутентификация, ??