Как реализовать refresh token механизм?

Access token короткий (15 минут), refresh token длинный (7-30 дней). При истечении access token клиент посылает refresh token на /auth/refresh — сервер возвращает новый access token. Refresh token rotation: при использовании refresh token выдаёшь новый — старый инвалидируешь. Хранение refresh token в БД (revocation) или Redis (быстрее). httpOnly cookie для refresh token — защита от XSS кражи. При обнаружении украденного refresh token — инвалидируй всю семью токенов.