он быть на клиенте или его нужно хранить в http-куке?
Думаю так сделать: отдавать пачку access token’ов, а refresh token хранить в куке
Можете посоветовать что-то или же скинуть ресурс на какую-то крутую имплементацию?
в http only куке
рефреш токены я не парюсь и храню в localstorage, а в БД на сервере где должны хранится эти токены у меня еще отдельные столбцы под userId время протухания токены + некоторая уникальная информация о пользователе типа ос, браузер, ип даже если сопрут рефреш токен им особо нельзя будет всольпользоваться. ну и при протухании access токена я на спец урл посылаю рефреш токен и нахожу строку с ним в бд проверяю что таже ось , ип итд и выписываю новую пару токенов
Обсуждают сегодня