Тогда еще вопрос есть, где и как мне хранить переменную

isAuthorized? сейчас я храню в памяти, но когда обновляется страница значение становится дефолнтым, как быть?

ну можешь конечно в локалсторадже хранить, но зачем?

ну а как понять, что пользователь залогинен? наличие токенов еще ничего не значит

а если isAuth в локалсторадже лежит, а токены просрочились? всё?

проверять наличие аццес токена в локал сторейдже

он в куки лежит, но это не важно

а что тебе мешает хранить аццес токен в локалсторейдже?

я тогда не понимаю как быть как не пустить пользователя туда, куда не надо как не дать ему сделать запрос на, что ему нельзя

в куки безопаснее и удобнее)

в случае с аццесс токеном, не думаю, что имеет смысл пихать его в куки

а эти процессы все должны на бэке происходить

на старте приложения проверяй сессию пользователя и всё

у меня нет сессий у меня jwt токены

а в

у меня как spa работает, без server-side рендеринга

причем тут это?

просто ты про сесию сказал

тогда не знаю, что подсказать

При каждом запросе отправляешь access jwt, для этого делаешь wrapper для обычного fetch На сервере разбираешь. В токен впихываешь юзер и такие мелочи для идентификации.

это сделано уже

После перезагрузки спадает куки?

нет, это все ок

просто, я хочу запретить пользователю переходить на страницу и вот думаю как это сделать

ага, и как его хранить

а что мешает делать это на бэке

в палне?

ну на бэке должны процессы происходить такие

да, но бэк же по сути является api-шкой, то есть он не отвечает за отдачу страниц

Короче он к тому ведёт, что на клиенте можно подменить все шо хочешь

это я понимаю

ну так

ты отправляешь запрос на бэк, если прилетает 403 - говоришь пользователю, что нет прав

и перекидываю его на login страницу, например, да?

ну в случае с 403 не думаю, что будет правильно на логин отправлять, потому что он и так авторизован

ну при 401

короче мне недавно тестовое дали с беком и 403, я сказал шо так не надо, а мне доказывали шоб я исходил из этого. и там вообще еще сверху переадресация была, если не с локалхоста запросы кидаешь. ну трэш короче, я решил не связываться

даже не знаю как мне реагировать)

зачем перекидывать?

а что мне тогда делать? если тип не залогинен, просто скзаать иди логинься

ну при каждом запросе для этого токен и отправляется

ну вот он отправил его, а они все просрочились, тогда он идет заново логиниться

нет. рефреш токен отправляется :)

да, я это и имел ввиду, просто затупил) то есть когда рефреш кончился я уже на логин кидаю

да, поймешь ты это тогда, когда запрос на рефреш тебе скажет, что он истек

да, я понял это

вот так вообщем

Бро...

весь код скинь лучше)