Как лучше проверить токен сохраненный в localstorage при заходе на сайт?
Хранить токен в localStorage - не очень хорошая идея, так как любой скрипт на любой странице сайта сможет прочитать такой токен и сделать с ним что угодно (например отправить на свой сервер для последующего массового взлома).
отправлять холостой запрос на авторизованный эндпоинт и если приходит 401 то менять статус?
Токен должен отправляться в каждый запрос, который требует не гостевых привилегий, иначе смысла нет в токене.
Единственный адекватный на сегодня вариант хранения токенов - это кука с флагами secure и http-only.
Флаг secure обеспечит, что кука будет доступна только по https.
Флаг http-only не даст доступ к этой куке из JS, прочитать ее сможет только сервер.
Простой
Средний
Простой
