Den letzten Satz verstehe ich nicht. Also du hast ein short living access token und ein long living refresh token. Du machst einen Aufruf mit dem access token und kriegst einen 401 zurück. Dann rufst du den token endpoint mit dem refresh token auf und kriegst ein neues access token. Also das ist eigentlich standard.
Wenn sie das wirklich anders lösen, dann wäre das komplett am Standard vorbei