с ограниченным временем жизни и refresh token для обновления, то я правильно понимаю, что если "злоумышленник" получит доступ и к JWT и к refresh токену, то он сможет далее регулярно получать новый JWT + refresh token для своих темных делишек.
Если это так, то мб есть какие-нибудь best practices для этого? Например JWT хранить в localStorage, а refresh token только в httponly куках?
Аксес токен в памяти, рефреш в хттпонли куках, гоняем по Https
Вернулся домой с прогулки - разлогин. Зашёл в кафе (подключился к их wi-fi) - разлогин Всё правильно сделал 👍
Обсуждают сегодня