вот с refresh и запутался. хранить его в базе, или не хранить. в целом, если реализовывать список сессий активных/неактивных, с возможностью убить сессию - можно в базу писать его
Просто хранить - мало, если ты пишешь приложение такого уровня, что там очень строго с безопасностью, то надо хранить и дополнительные данные по рефрешу. Я обычно ограничиваюсь записью в лог, кто когда и что рефрешил.