Скажите, как можно сделать чтобы не хранить refresh токен в

лакал сторадж?
вообщем, у меня на беке есть access и refresh токены. Access токен живет минуту и по нему дается вся инфа, запрос на рефреш токен требует поле для заполнения refresh, которое дается при авторизации вместе c access токеном. Соответственно я и беру два токена и кладу в локал сторадж, когда access токен истекает я делаю запрос на рефреш токен с нужным refresh токеном в параметрах и в ответ мне прилетают новые два токена access и refresh. Как то можно сделать так, чтобы не хранить нигде refresh токен??

А норм практика два токена access и refresh хранить в сторадж?

А как иначе?

норм, но я старовер и больше доверяю кукам

То есть норм? Я бекендер, вот сейчас фронт пишу и изучаю

в любом случае над безопасностью нужно подумать

Оба нужны, оба для разных целей... Лишь бы не impliciteflow

разницы нет украдут у вас 2 токена или куки-сессию и там и там получат доступ к сайту есть механизмы защиты, не все действенные, но всё же тут вопрос в другом, зачем вам именно токенная-авторизация и почему нужна именно она, а не другая альтернатива

Да вот я читал про SPA и везде про jwt написано. Современно, безопасно и все такое. Вот я и сделал jwt

тут уже смотря какое SPA, для админки JWT хорошо подходит, для интернет магазина с API-сервером хватает и обычного bearer токена

Аксесс токен хранишь в сторе приложения, а рефреш ставишь в куку сразу с бэка, httpOnly, same site, и path только на путь эндпоинтов, где этот рефреш токен нужен, условно /api/auth А в ответе желательно вообще не отдавать рефреш токен, если у тебя нет какого-нибудь мобильного приложения

У меня data и status - undefiend так как статус 400 равен (refresh: обязательное поле). Можешь сказать как refresh token из куки передать в этом пост запросе?? я думал это сделает withCredentials...

Обязательно *поле* Ты сам ответил на свой вопрос

У тебя оно не полем должно быть, а доставаться из куков

ищите сразу реализацию на промисах....и очередях, т.к. могут проскочить сразу несколько запросов - а токен протух))))) и надо будет подождать рефреша, а затем поменять заголовки авторизации в очереди

А вы уверены что куки не отправляются на сервер? Посмотрите в Нетворк этого запроса, а именно во вкладке Headers -> Request Headers

с этим сначала разобраться бы

А теперь покажите код на сервере, как вы обрабатывает входящие куки ? Вы дали ему возможность с ними работать?

эм.. на беке я использую пакет simple jwt для django rest framework. Я кастомизировал пост запрос чтобы refresh в куку прятать.

бывают задачи максимально индивидуальны)

В итоге, вам нужно дописать на беке, на клиенте у вас все ок, ваша кука отправляется

ок

спасибо, дописал middleware на беке. Все работает. Позволь еще вопрос, я того что я написал для рефреша на фронте достаточно? Или нужно как то сделать чтобы фоном запрашивался и обновлялся access токен. Вообщем чтобы не случилось такого что вдруг разлогиниться внезапно

💪 Да вроде сойдет) У тебя твой рефреш должен тебе возвращать новую пару аксеса и рефреша(рефреш не обязателен, если ты ток не хочешь к примеру на мобилках использовать, там с куками беда), этот новый акссес подставляешь в клиент.

спасибо. Точно, рефреш из респонса еще забыл убрать. Отлично, целый день сижу с этим) ну раз ок, значит ок