Не было бы достаточно производить другой token, когда умрут тот, который в настоящее время существует? потому что, что неудача не была подлинностью token (кто-либо этим манипулировал) только эта умерший и: не было бы достаточно создавать другой в пользователя, и что, после этот другой token создает сервер, возвратил ему ресурс, не посылая этого login?
Разгрузка шагов была бы следующим
token подразумевает больше информации, чем та, что ты думаешь.
, Когда вы просите первоначальный token, ты посылаешь информацию как пользователь, password и другие характеристики сеанса для того, чтобы был предоставлен token ввода информации.
token свежести, не нуждается во всех этих вещах, потому что пользователь уже ввел информацию в компьютер, и тогда только надо обновлять, что он продолжает быть живым.
Просить всю информацию у пользователя обратно (password ты это не сохранял, нет?) и посылать все то, что нужно, чтобы производить новый token, это расход ресурсов.