refresh token robi się podobnie jak access token żeby ograniczyć zapytania do bazy danych
Nie zgodzę się do końca. Flow z refresh tokenem pozwala Ci używać access tokena z krótkim czasem przydatności.
Trzymając refresh token w bazie masz listę aktywnych sesji i w razie potrzeby możesz kogoś wylogować.
nawet jakby baza danych wyciekła to nikt by nie dostał się do refresh tokenów.
Po co komu refresh tokeny, kiedy wyciekła baza danych? 