Что такое refresh token rotation?

Access token живёт 15 минут, refresh token — 7 дней. Когда access истекает, клиент отправляет refresh token и получает новую пару access + refresh. Старый refresh token инвалидируется — это и есть rotation. Зачем: если refresh token украли, при следующем использовании легитимным пользователем сервер увидит, что токен уже использован, и заблокирует всю цепочку. Без rotation украденный refresh token работает до истечения. Храни refresh tokens в БД с пометкой used.