Тогда еще вопрос. Если пользак тупит на одной из страниц (не вызывает закрытое АПИ) , access token к этому времени протухает как и refresh token , после чгео пользователь ходит по SPA и видит то, что в принципе уже не должен видеть. Ходит к слову по открытому апи , которое не требует токенов