Если приложение использует http-only cookie авторизацию, то каким образом стоит реализовывать обновление access-токена?
Традиционный вариант: метод /refresh, который бы обновлял access_token в куках, но тогда с фронта нужно проверять истёк ли текущий токен.
Второй вариант, который приходит на ум: при запросе в случае невалидного access_token доставать refresh и проверять его, а потом выдавать новый access_token. Так получается бесшовно.
