Załóżmy, że mamy użytkownika, który dostał access token i refresh token z endpointu od jwt.
Załóżmy również, że z niewiadomej przyczyny ktoś trzeci pozyskał refresh token danego użytkownika.
Jak w takim przypadku powinien serwer i użytkownik się bronić?
Bo z access token to pół biedy za jakiś czas token (o ile jest krótki) token się przeterminuje, a z refresh token to można uzyskać dostęp tak bez końca.