раздутый до каких-то заоблочных масштабов. Примерно как open-api, REST и прочее.

можно спокойно делать как тебе нужно

ну, у меня 4 сервиса на разных url  сидят, мне куки не заходят :(

Редирект через единый сервис, предоставляющий данные для записи в куки

да и ничего в них такого большого over  нет... два сервиса торчат, один выдает токены, второй рефрешит, можно и одним обойтись... принимать в выдающем и refresh

А отзывать?

так это же единая точка отказа, да и все через него пропускать не всегда в моем случае можно :(

отзываются только refresh-токены

auth-токен короткоживущий максимум сутки

может у меня что и неправильно, тогда подскажите.

Централизованный логаут уже не сделаешь.

есть сервис, принимает login/pass, отдает два токена  refresh  и auth
c auth  бегаю везде, если протух, запрашиваю повторно через  refresh
refresh можно инвалидировать со стороны сервера
есть дополнительные проверки пользователя на критические операции на серверной стороне, что он валидный
так что если пользователя заблочили, то все сразу перестают с ним работать, даже если у него есть валидный auth и refresh.
новых ему не получить, а старый  auth  быстро протухнет

15 минут поцоны делают

30 минут :)

проблема кук в том, что на мобильных девайсах и каких-то апи их может не быть

с другой стороны - кукисы ровно тем же страдают, все равно проверку нужно делать, инвалидацию и прочую фигню. и да, не все в браузере делается. у меня 1000+ девайсов, которые к rest  бегают с этими токенами.

Давно пытался осилить - https://gitlab.com/astrolite/osgitest
И до сих пор иногда пытаюсь победить. Но там всё "очень через зад". Classloder'ы, не желающие видеть кложурный gen-class и прочие радости из явы. Хочу загнать кложурные апы в karaf, но получается не так, как хочется.

Это почему может не быть?

я мб чот не знаю, на айфонов и андроида поддерживаются куки в нативных приложениях?

Да)