## Descrição Implementar refresh token com rotação para manter sessões sem expor credenciais. ## Tarefas - [ ] Criar entidade `RefreshToken` com expiração configurável - [ ] Criar `RefreshTokenRepository` e `RefreshTokenService` - [ ] Endpoint `POST /api/v1/auth/refresh` — gera novo access token via refresh token - [ ] Rotação: ao usar refresh token, invalidar o antigo e emitir novo - [ ] Refresh token via cookie `HttpOnly` separado (nome: `refresh_token`) - [ ] Limpeza automática de tokens expirados (scheduled task) - [ ] Testes unitários ## Considerações - Refresh token deve ter expiração maior (ex: 7 dias) - Invalidar todos os tokens do usuário em caso de suspeita de comprometimento
Descrição
Implementar refresh token com rotação para manter sessões sem expor credenciais.
Tarefas
RefreshTokencom expiração configurávelRefreshTokenRepositoryeRefreshTokenServicePOST /api/v1/auth/refresh— gera novo access token via refresh tokenHttpOnlyseparado (nome:refresh_token)Considerações