Idp OIDC refresh token valore expire

Buongiorno,
volevo dei chiarimenti sul valore exp da applicare nel refresh token emesso con policy di rotazione CU2, ma penso che la stessa problematica si rifletta anche su CU1 e CU3.

Secondo validatore online il valore exp nel refresh token dovrebbe seguire questa logica
the value of exp is not < (iat + 30 days - iat of original authentication)

Secondo specifica ‘exp’ deve essere un istante e l’algoritmo sopra espresso non può produrre un istante ma una differenza. Quindi se si vuole che ‘exp’ sia al più 30 giorno ‘iat’ del authRequest ricevuta bisognerebbe usare questo algoritmo 30 days + iat of original authentication?

Allo stesso modo ‘exp’ secondo specifica non dovrebbe essere dall’autenticazione originaria, cioè dal momento che l’utente si autentica e non dal momento di generazione ‘iat’ del authRequest?

Grazie,
Riccardo.