As regras mudaram em algum momento de 2017, então a melhor resposta eu acho que depende do produto. Por exemplo, na API do Gmail, o token de atualização Oauth 2.0 expira com a alteração da senha. Veja este https://support.google.com/a/answer/6328616?hl=en
Costumávamos configurar o acesso à API com antecedência e gerar tokens de atualização quando configurávamos NOVOS usuários do gmail, e então poderíamos arquivar seus e-mails (somos obrigados a fazer isso por lei), mas agora, assim que eles mudarem sua senha, o token de atualização é revogado.
Talvez para youtube e mapas, o token de atualização ainda tenha vida longa, mas para gmail api, conte com um token curto.