How to properly handle expired tokens in web applications?

Для правильной обработки истёкших токенов в веб-приложениях можно использовать refresh-токен. dev.to habr.com Это долгоживущий токен, который позволяет получить новый токен доступа, когда истечёт время жизни старого. dev.to

Процесс обработки: gist.github.com

1. Перед каждым запросом клиент проверяет время жизни токена доступа. gist.github.com
2. Если оно истекло, клиент отправляет запрос на обновление токенов, передав в нём refresh-токен. gist.github.com
3. Сервер получает запись рефреш-сессии по UUID рефреш-токена, сохраняет текущую рефреш-сессию в переменную и удаляет её из таблицы. gist.github.com
4. Проверяет текущую рефреш-сессию: не истекло ли время жизни и соответствует ли старый fingerprint новому, полученному из тела запроса. gist.github.com
5. В случае негативного результата выдаёт ошибку TOKENEXPIRED/INVALIDREFRESH_SESSION. gist.github.com
6. В случае успеха создаёт новую рефреш-сессию и записывает её в БД, создаёт токен доступа и отправляет клиенту access и refresh token. gist.github.com

Также можно задать интервал времени, в котором клиентское приложение должно запросить новый токен заранее, не дожидаясь истечения его срока годности. ru.stackoverflow.com