Почему при реализации JWT на фронте access токен должен отправлять именно в заголовках, а не в куках?
Ведь при авторизации сервер может вернуть access токен в set-cookie и параметром httpOnly и на все последующие запросы к API этот токен будет прикрепляться в виде cookie. Когда время жизни токена истечет, то фронт просто обновит его через refresh эндпоинт и бекенд вышлет новый токен в куках. Насколько это решение хорошее? Какие у него есть подводные камни? Почему во всех статья рекомендуют сохранять access токен фронт в куках и потом прикреплять к запросам к API в заголовках, а не так как я описал выше?
я по разному делал, бывало вообще и access и refresh токены в localStorage сохранял, бывало и оба токена в куках сохранял, бывало access в localStorage а refresh в куки
можешь делать так как хочешь ты, но безопаснее будет и access и refresh хранить в куках с флагом httpOnly
Почему во всех статья рекомендуют сохранять access токен фронт в куках и потом прикреплять к запросам к API в заголовках, а не так как я описал выше?
не знаю кто там чё рекомендует, но доступа к кукам с фронта нет если куки установлены с флагом httpOnly
