Привязка refresh-токена к:
1. fingerprint (device id; +привязка к refresh-токену)
2. IP/Subnet (+привязка к refresh-токену)
3. Контроль поведенческого фактора
что делать, если пользователь, будучи авторизованный на одном устройстве, залогиниться на другом?
я уже отвечал тут и повторю:
Account->Device->Token
и никак иначе!
И, как верно заметил
Pardon Me! Where Do I Find 4giveness?, refresh token должен меняться несколько раз за пользовательскую сессию (активность) в полностью "прозрачном" (для пользователя) режиме.
