Да, для веб-службы API имеет смысл отправлять вновь созданный токен для нового пользователя, чтобы клиентское приложение могло использовать его для последующих запросов на от имени пользователя.
Да, вы можете сделать токены устаревшими, сделав их недолговечными, давая им раннюю дату истечения срока действия, чтобы пользователь мог повторно проверить подлинность через определенный промежуток времени, указанный вами в дате истечения срока годности.
Когда токен истекает, вы можете иметь конечную точку, которая его обновляет. Вы также можете использовать раздвижные сессии.
Слайд-сессии - это сеансы, срок действия которых истекает после периода бездействия. Как вы можете себе представить, это легко реализовать, используя токены доступа и обновлять токены. Когда пользователь выполняет действие, выдается новый токен доступа. Если пользователь использует токен с истекшим доступом, сеанс считается неактивным и требуется новый токен доступа. Можно ли получить этот токен с помощью токена обновления или нового раунда проверки подлинности, так как разработчик должен это определить.
refresh tokens рекомендуется в основном для мобильных приложений, а не для веб-приложений. Причина заключалась в том, что обновленные токены действительно долговечны, так как пользователи мобильных приложений постоянно регистрируются навсегда. Вы можете отменить токен обновления, хотя в ситуации, когда он был захвачен или скомпрометирован!
Возможно, вы захотите ознакомиться с этим отличным tutorial, чтобы получить дополнительную информацию о том, как они работают!
Oh @pedrofb уже упомянуто это!