Java JWT使用jjwt刷新令牌

最近我在SpringBoot和Kotlin开始了我的项目，我想创建一个用户管理系统。在进行了几次搜索之后，我看了关于身份验证过程中JWT令牌实现的视频

除了当前需要在每次身份验证中传递用户名和密码这一事实之外，一切似乎都运行得很好，这意味着调用API的客户端每次都需要存储或请求它

在阅读了这篇文章之后，看起来选项3实际上就是我想要的。据我所知，认证过程应如下所示：

• 客户端调用身份验证方法
• 返回2个令牌-1个具有短周期（即身份验证令牌），另一个具有较长周期（允许续订身份验证令牌）
• 一旦身份验证令牌过期，客户端将仅使用那些令牌更新过期令牌，而不使用用户的原始详细信息

在这方面，我有两个问题：

从安全角度来看，如果黑客“捕获”了这两个令牌，会发生什么？这基本上意味着黑客从现在起可以毫无问题地作为这个用户进行身份验证，不是吗

更多或更多的实现问题，从我所看到的，

jjwt

不支持此功能（因为只要令牌没有过期，我就可以从令牌读取信息）。从我的搜索中，我找不到“开箱即用”的东西——有没有一个标准可以在功能上实现这一点