Cześć, bawię się ostation z JWT i nie mogę zrozumieć jednej rzeczy użytkownik logując się otrzymuje od serwera token i refresh token. I z tego co wiem dobrą praktyką jest aby token wygasał po upływie kilku minut bo może zostać wykradziony przez co inny użytkonik dostanie autoryzacje właściciela tokenu. I tu jest moje pytanie jeżeli zostanie wykradziony refresh token to osoba która wykradła ten token robiąc requesta na serwer otrzyma nowy token, który zautoryzuje go jako użytkownika od którego wykradł token. Dobrze to rozumiem czy gdzieś zrobiłem bład logiczny którego nie mogę się dopatrzeć?