Не понимаю как обновлять JWT, refresh token что в нем необычного?

Question

[IvanN777]

Есть токен с идентификатором пользователя
Есть рефреш токен.

При просрочке токена, мы используем рефреш токен чтобы обновить юзерский.
Так же в теории написано, что если юзерский токен будет взломан, то рефреш не даст злоумышленику обновится и работать далее.
Но вопрос. Чем отличается обычный jwt token от jwt refresh token.
Зачем вобще делать устаревание токена, если он угонит обычный то и refresh token он угонет.
Или он должен хранится как то иначе.
Не понимаю принцип его защиты.

Answer 1

[Александр]

Не понимаю принцип его защиты.

refresh token отдается не всем подряд.