authorization code や refresh token を一度だけ使わせる場合、読み取り後に別 update するだけでは並行リクエストで再利用される可能性がある。used_at IS NULL や revoked_at IS NULL、expires_at > now の条件を含む update を transaction 内で実行し、affected rows が 1 件のときだけ token pair を作成すると、再利用レースを防ぎやすい。