Oauth 2.0 安全续订令牌是否使用Auth0中的委派终结点？

我想使用Auth0创建具有基于令牌的身份验证的单页应用程序

我的身份验证用例是：

1.）插入用户名和密码

2.）从Auth0服务器获取令牌，过期时间可能为6小时

3.）在javascript端，我检查当前令牌的过期时间

4.）如果令牌将在到期之前，我将通过Auth0.js库调用函数renewIdToken。它是到Auth0服务器的委派端点的HTTP POST

auth0.renewIdToken(current_id_token, function (err, delegationResult) {
  // Get here the new delegationResult.id_token
});

5.）如果令牌将过期，则我重定向到登录页面

secure能够从任何地方通过HTTP POST续订令牌吗？ 如果用户丢失了令牌，攻击者可以永久使用该令牌，因为该令牌很容易续订，并且不可能撤销，那么会发生什么

这个场景没有刷新令牌，我只使用令牌。 我阅读了一些不建议在SPA场景中使用刷新令牌的主题