Refresh token db de tutuluyorsa sifreli kalmali, client tarafta acik olarak saklanabilir. Token refresh ederken bu tokeni alan ip halen ayni ise refresh yapabilsin, degilse yapamasin diye kural koyabilirsiniz. Zaten gecerlilik vb kontrolleri yapiyorsunuz. Tokenlqrin suresi de cok uzun degilse sorun yasanmaz. Client tarafta sifreleyip cozmenin bir avantaji yoktur.