Ja, mir erschien das immer als zu einfach angreifbar (eine Session ID zufällig zu treffen sollte nahezu unmöglich gemacht werden und es reicht ja nach wie vor das Cookie zu stehlen, um die Authentizität zu übernehmen - was man aber wohl nicht verhindern kann). Aber das scheint ja so durchaus Best Practice zu sein

Also speichere ich mir in einer Tabelle zu jedem Benutzer Auth Token + Refresh Token + Expiration Date. Bei erfolgtem Login speichere ich in einer Session Tabelle die UserId / Session Id. Und wenn ein wiederkehrender Besucher kein gültiges Access Token mehr hat, führe ich im Hintergrund den Refresh aus.