Работа с просроченным токеном авторизации в мобильной разработке устроена следующим образом: 5

1. Пользователь логинится в приложении, передавая логин и пароль на сервер. 5 Они не сохраняются на устройстве, а сервер возвращает два токена и время их жизни. 5
2. Приложение сохраняет токены и использует access token для последующих запросов. 5
3. Когда время жизни access token подходит к концу (приложение может само проверять время жизни или дождаться, пока во время очередного использования сервер ответит «ой, всё»), 5 приложение использует refresh token, чтобы обновить оба токена и продолжить использовать новый access token. 5

В некоторых случаях при обновлении основной токен может не измениться. 2 Так происходит, если оставшийся срок его жизни достаточно длительный и выдавать новый токен нет необходимости. 2

Также для экстренного аннулирования токена к нему привязывают уникальный идентификатор (jti) и с каждым запросом проверяют в чёрном списке на сервере. 3