JWTによるステートレス認証：更新トークンはステートレスではありません

現在のアーキテクチャでは、バックエンドがJWTを（モバイル）クライアントに発行します。 JWTを選択する主な理由は、ステートレス認証です。つまり、サーバーはセッション/データベースにデータを格納する必要がないため、オーバーヘッドとスケーラビリティの問題が少なくなります。
一般的な戦略は、ユーザーにログインし、短期間有効なJWT（約15分-私が読んだとおり）を、ユーザーがクライアントに保存する更新トークンと共に返すことです。更新トークンは期限切れになることはなく、取り消すことができます。目的は、長期間にわたってJWTを送信するのを避け、有効期限が切れたときにのみJWTを更新することです。攻撃者が短命のトークンを手に入れると、攻撃時間枠は短くなります。

問題は、私が考えると、この物語は穴があふれているように見えることです。はっきりさせてください。

1. 15分の有効期限は、一部のユーザーが1日に10回、ネットワーク経由で更新トークンを送信する可能性があることを意味します。これは、一部のユーザーが通常の有効期間の短いアクセストークンを使用してリクエストを行うのと同じくらい高い頻度である場合があります。したがって、更新トークンの引数は疑わしいようです。
2. SSLについて質問した場合、なぜ多くの企業が基本認証を使用するのかわかりません。リフレッシュトークンでJWTを使用するには、おそらくHTTPSを使用する必要があります。
3. クライアントに新しいjwtを発行するためにセッション/データベースに更新トークンを保存する必要がある場合、JWTの利点は何ですか。この場合、更新トークンは、バックエンドに格納される一種のパスワードとして機能します（まったく同じではないことに気付きます）。これにより、認証フローが本質的にステートフルになり、JWTを完全に使用することの利点が失われるようです。また、15分の短い有効期限では、オーバーヘッドが大きく、30分間隔で電話を確認するたびに、更新されたアクセストークンを取得する必要があることを意味します。保存された更新トークンを確認するオーバーヘッドがあるだけでなく、更新トークンがブラックリストに登録されているかどうかを確認する必要があります。これは、別のパフォーマンスのオーバーヘッドを意味します。 （編集：最後のチェックは、取り消されたときにデータベースから更新トークンを削除するだけで削除できます）。
4. 更新トークンには、複数のサーバーラウンドトリップが必要です。
   • 401は、アクセストークンの有効期限が切れたときに返されます（リソースサーバー）。
   • 認証サーバーで新しいアクセストークンをリクエストする必要があります
   • リソースサーバーへの要求を再開する必要があります。

誰かが私にここで何が欠けているのか説明してくれますか？