Когда refresh token, хранящийся в cookie, протухает (истекает срок его действия), пользователь теряет возможность получить новый access token через механизм обновления.

Что происходит на практике:

При попытке обновить access token с помощью протухшего refresh token сервер отвергает запрос, так как токен недействителен.
Пользователь считается неаутентифицированным.
Обычно клиентское приложение перенаправляет пользователя на страницу входа (логина) для повторной аутентификации.

Таким образом, истечение срока действия refresh token приводит к необходимости повторного входа пользователя в систему.

Важно:

Срок жизни refresh token обычно значительно больше, чем у access token.
Для безопасности refresh token часто хранят в HttpOnly cookie, чтобы снизить риск кражи.
Сервер может реализовывать дополнительные механизмы отзыва refresh token (например, при выходе пользователя из системы).

Когда протухнет refresh token, который живёт в cookie, — что происходит с пользователем?