Я правильно понимаю, что у OAuth2 refresh_token это дикий костыль, нашлепнутый вдогонку? Если смотреть RFC, то там есть например ситуация, когда сервер может перевыпустить refresh_token по своему разумению и удалить остальные. Однако, ситуация получается скользкой. Если подразумевается, что одним приложением (client_id) можно пользоваться в нескольких инстансах (с двух телефонов на андроиде - почему нет), то такая ситуация приведет к вдруг внезапной потере refresh_key для одного из приложений. И дальше все выкручиваются как могут. Так?