La respuesta aceptada aquí en cuanto aPor qué expiran los tokens de acceso OAuth2:

Muchos proveedores admiten tokens de portador que son muy débiles en cuanto a seguridad. Al hacer que sean de corta duración y que requieran actualización, limitan el tiempo que un atacante puede abusar de un token robado. (¿Qué significa esto? ¿Lo tomo para significar permitir la transmisión sin TLS? ¿Algo más?).La implementación a gran escala no desea realizar una búsqueda en la base de datos en cada llamada a la API, por lo que en su lugar emiten un token de acceso autocodificado que se puede verificar mediante descifrado. Sin embargo, esto también significa que no hay forma de revocar estos tokens, por lo que se emiten por poco tiempo y se deben actualizar.El token de actualización requiere la autenticación del cliente, lo que la hace más fuerte. A diferencia de los tokens de acceso anteriores, generalmente se implementa con una búsqueda de base de datos.

Suponiendo que no admitimos la transmisión no encriptada del token de acceso, nos ocupamos del primer punto.

Suponiendo que estamos bien con hacer una búsqueda en la base de datos contra un token de acceso completamente aleatorio y revocable, se encarga de la segunda.

Para las aplicaciones móviles, la autenticación del cliente no puede ser más fuerte porque "el client_id y el client_secret obtenido durante el registro están incrustados en el código fuente de su aplicación. En este contexto, el client_secret obviamente no se trata como un secreto". (Google). Eso elimina la tercera preocupación.

Entonces, ¿cuál es el beneficio de separar tokens de acceso de corta duración y tokens de actualización de larga duración en este escenario? ¿Está "bien" simplemente emitir tokens de acceso que no expiren e ignorar toda la parte del token de actualización?