Вопросы насчет работы refresh token JWT?

Question

[askar98]

Всем привет! Сейчас работаю над security и появились несколько вопросов про refresh token для JWT. Я реализовал так
1: При входе юзер получает access token в виде json и каждый раз передает их в header,а рефреш токен храню в http-only cookie.
2: Есть еще маппинг на путь /refreshtoken который обновляет оба токена.

Вопрос:Зачем мне рефреш токен хранить в куки если я так же с access токеном могу обновить обращаясь к /refreshtoken,или при рефреш мне нужно проверять куки?

Answer 1

[Иван Шумов]

Незачем их оба хранить в куках. Есть Local Storage.

Comments

[askar98]

А там разве безопасно хранить это все?

[Иван Шумов]

askar98, ну как бы все что хранится на клиенте имеет одинаковую безопасность. А лишние куки передаются в заголовках по сети. Если это не https то пиши пропало). Есть еще Session Storage, кстати

[askar98]

Я просто не понял работу рефреш токена,можно же access token на час поставить и потом обновлять,нужен ли refresh?)

[Иван Шумов]

askar98, можно. Абсолютно ничего не мешает кроме того что это разные циклы жизни, а refresh быстрее и дешевле.