Объясните, как работают refresh tokens в OAuth2. Какие меры безопасности нужно принимать при их использовании? Приведите пример сценария, где refresh token критически важен.