Android中的Oauth2刷新令牌续订

我正在开发一个Android应用程序，它使用Oauth2令牌来获取授权以访问受保护的资源。我使用第三方平台作为身份验证服务器（使用OpenId Connect）。基本上我的问题是，我想处理过期的刷新令牌。Android中的Oauth2刷新令牌续订

目前的情况

我有一个NetUtils类的行为像一个单身和管理使用安全模板休息我所有的请求。该剩余模板使用请求包装为每个请求注入所需的授权标头。 NetUtils类处理whith令牌和超时，将它们保存在用户首选项中，并在需要时刷新它们。

但是，刷新令牌本身到期时会出现问题。在我使用授权码流时，我需要打开一个WebView并将用户重定向到登录页面，但是当NetUtils类确定刷新令牌已过期时，我会注意到它。理想情况下，应用程序将启动WebView，用户将再次登录并执行存储的请求。这是我的代码，以刷新访问令牌：

private AccessToken refreshToken(String idClient, String clientSecret, AccessToken accessToken) { 
    MultiValueMap<String, String> clientAuthenticationForm = new LinkedMultiValueMap<>(); 
    clientAuthenticationForm.add("grant_type", "refresh_token"); 
    clientAuthenticationForm.add("refresh_token", accessToken.getRefreshToken()); 
    clientAuthenticationForm.add("client_id", idClient); 
    clientAuthenticationForm.add("client_secret", clientSecret); 
    try { 
     long lastClientRefresh = mPrefs.getLong(Preferences.LAST_LOGIN_TIME, Long.MIN_VALUE); 
     boolean refreshTokenExpired = lastClientRefresh 
       + TimeUnit.SECONDS.toMillis(accessToken.getRefreshExpiresIn()) < System 
       .currentTimeMillis(); 
     if (!refreshTokenExpired) { 
      return regularRestTemplate 
        .postForEntity(tokenUrl(), clientAuthenticationForm, AccessToken.class) 
        .getBody(); 
     }else{ 
      //How to cope with this? 
      return null; 
     } 
    } catch (Exception ex) { 
     Log.e(TAG, ex.getMessage(), ex); 
     throw ex; 
    } 
} 

其他选择

其他的选择是让刷新令牌长期居住并刷新每个应用程序启动，例如时间。我不得不提及client_id和client_secret当前正在应用程序中进行硬编码（尽管客户端凭证授权并不打算在生产环境中启用，因此仍然需要提供用户名和密码来检索令牌）。

这里最好的做法是什么？