401 Насколько вероятна циклическая авторизация? И как правильно с ней бороться?

Question

[SymphoGraph]

Клиент SPA на spa.domain.ru При загрузке берет токен из куки фронта и шлет на бэк api.domain.ru.
Если токен не принят 401(нету, устарел)

• отправляю на api.domain.ru/gettoken,
  
• ставлю куку на бэк,
  
• отправляю на spa.domain.ru#tokengfdgfgsfgds,
  
• ставлю куку на фронт.
  

Вроде бы всё работает. Но я подозреваю, что это может привести к цикличности в определённой ситуации.
Интуитивно чувствую, что что-то делаю не так.
Что я забыл?
Я должен отправлять что-то ещё? Какую-то информацию о том в который раз клиент отправлен за токеном?
Как принято?
Или это и вовсе как-то иначе надо решать?

Comments

[SymphoGraph]

Elon Mask, Ну это холивар на 100500 страниц. А у меня вопрос в рамках определённой вселенной.:)
Тем более, что от смены бэка фронт не изменится как и механизм.

Answer 1

[Voland69]

Посмотрите реализацию JWT - клиенту выдается два токена:
1. access - то что нужно для доступа к ресурсу, живет недолго
2. refresh - то что нужно для обновления access токена, живет сессию
по истечении access токена единожды отправляете пару AT + RT auth серверу, если 200 то запоминаете новую пару, повторяете запрос и профит, если не 200 то сессия истекла (тут еще стоит добавить обработку конкретных ошибок, например если этот RT уже использовался для обновления сессии значит его "подсмотрели" и у вас проблемы).