access token - localStorage
refresh token - cookie (httpOnly, Secure)
Нарисовал вот такую схему для себя для приватных роутов (запросов):
Есть непонятные для меня моменты:
1. Если не существует access token, это не означает, что не существует refresh token (в схеме указано, что в этом случае идет редирект на страницу входа (логина), но ведь пользователь может очистить localStorage принудительно, но мы не можем проверить с фронта существует ли refresh token в данный момент).
2. Второй момент, нужно ли проверять access token перед запросом на просрочку? (Т. е., начинаем делать запрос, токен просрочен - мы об этом узнаем не по 401 ошибке с бэка, а путем декодирования и просмотра параметра exp - далее получаем новый и продолжаем делать предыдущую операцию)
Как лучше поступить в данных ситуациях?
Простой
Средний
Средний
Простой
