Estou criando uma autenticação baseada em token (Node.js usando passport / JWT com um cliente angular).

Depois que o usuário insere suas credenciais, ele recebe um token de acesso, que ele envia em todas as solicitações dentro do cabeçalho (cabeçalho: portador TOKEN).

Não quero solicitar uma solicitação de login sempre que seu token de acesso expirar (todos os dias, eu acho), eu ouvi sobre oAtualizar tokens. O token de atualização nunca expira (ou raramente expira) e pode renovar os tokens indefinidamente.Quando o token de acesso está prestes a expirar, o cliente pode enviar uma solicitação de renovação para obter um novo token de acesso enviando seu token de atualização.

Não entendo poucas coisas, posso estar perdendo alguma coisa:

Como os tokens de atualização de longa duração / nunca expiram não arruinam a segurança de ter tokens de acesso de curta duração.

Os cookies podem ser roubados e usados até que expirem. Os tokens têm vida curta, portanto, mais seguros, mas se eu fornecer um token de atualização de longa duração, perco a vantagem de usar tokens.

NOTA: Estou ciente de que os tokens de atualização são enviados no logon inicial, portanto, não podem ser falsificados em todas as solicitações, mas se forem falsificados na solicitação inicial, eles estarão vulneráveis.