Nemyslí autor článku spíše refresh_tokeny? Access tokeny by po čase měly expirovat a v tom případě je autentizace řešená generováním nových access_tokenů na straně autorizačního serveru za použití klientova refresh_tokenu - pokud se tedy jedná o OAuth, což bych předpokládal.