Как продлевать access token при любом запросе с помощью refresh токена?

Question

[ValeraNakhuy]

В общем встала такая задача, но не силен в бэкэ, поэтому прошу помощи.

Значит у меня на клиенте хранится оба токена, возвращаю их при логине, и ложу в стор.
Каждый запрос я отправляю в header access токен
В базе я храню refresh токен.

В итоге я отправляю запрос, читаю access, затем создаю новый access.
1. Зачем в этой схеме refresh? Если можно просто отправить новый access
2. Как отправить в обычно запросе новы access ? Поместить его в req.header и на клиенте заменять для каждого запроса?

Comments

[Станислав Макаров]

Значит у меня на клиенте хранится оба токена

Что тут понимается под клиентом? Браузер пользователя? Если да, то хранить там рефреш-токен - ошибка проектирования.

[Виктор Сиротин]

Почему это неправильно?
Что рекомендует документация?
Что рекомендуете Вы?