Fazit: Der Serveradministrator ist für die Dauer des Tokens und Sicherheit des Nutzers, bezogen auf den Token, verantwortlich.
Würde eher Entwickler/Betreiber es nennen. Aber korrekt.
Bei einer Client Anwendung willst du die aber naturgemäß etwas länger haltend machen (keine Ahnung wie lange die halten bei discord!) Und verlängerst bei einer Anfrage dann das Token/ersetzt es.
Man muss Mal anmerken, das MFA (Multifactor Authentication) nicht zwangsläufig mehr Sicherheit bringt, da kommt es auch ganz auf die Implementierung an.
Am unsichersten sind zB TOTP (Timebased OneTime Password) über SMS und E-Mail, leider eine sehr häufige Variante und auch eine von zB Steam angebotene Variante beim Steam Guard, warum das unsicher ist? SMS hoffentlich jedem klar, bei Emails das Problem eben das diese oftmals auch heute noch nicht Transportverschlüsselt sind, beziehungsweise gerade bei united internet als Anbieter oftmals mit der Sicherheit (Sprichwort MFA, etc) auch nicht so ist und wenn dann dort das selbe Passwort verwendet wird (kommt auch häufiger vor als man denkt, selbst bei digital natives, Leidwesen hier zugeben: gerade bei denen ist das extremst häufig).
Heißt: Mail Account geknackt, bäm hast du alles.
Was diese Token Grabber angeht, diese müssen lokal ausgeführt werden oder innerhalb der Anwendung. Bei den lokalen Apps, ist es oft so das ja Electrum verwendet wird, es ist also im Grunde die normale WebApp, nur mit Chromium dazu gepackt.
Der Token ist übrigens kein Cookie, damit sind sogenannte JWT, JSON Web Token gemeint, ein gängiger Authentifizierungsmechanismus zwischen Javascript Frontends (auch gerne als SPA/PWA ausgelegt) und dem Backend, um eben mit der API zu interagieren.
Ein solcher User JWT hat mehr Rechte als ein JWT für zB einen Bot, man kann damit alles was der Nutzer kann, denn man ist eben DIESER Nutzer.
Aber das wird hier schon wieder zu viel.... Also lasse ich es lieber 
.
Falls doch jemand es noch mehr ausgeführt mag, warum MFA nicht gleich MFA ist und das größte Sicherheitsrisiko, den layer 8, eben auch kein MFA entgegenwirkt, darf es ruhig sagen.
