Статью-то читал, но не думал, что комментарии будут полезны)
Возник вопрос, а зачем хранить ref-tokens на серваке, если мы можем прямо в него пихнуть срок годности, подделать без ключа его нельзя будет, соответсвенно, мы можем ему доверять?
И в итоге, сервак разгружен
Рефреш на сервере хранится для учета доступа и инвалидации краденых токенов. Таким образом сервер наверняка знает о клиентах которым стоит доверять(кому позволено авторизоваться). Если не хранить рефреш токен в БД то велика вероятность того что токены будут бесконтрольно гулять по рукам злоумышленников. Для отслеживания которых нам прийдется заводить черный список и периодически чистить его от просроченных. В место этого мы храним лимитированный список белых токенов для каждого юзера отдельно и в случае кражи у нас уже есть механизм противодействия(описано в заметке).
Что именно хранить/не хранить в бд вы конечно можете решить сами