Всем привет! Сейчас работаю над security и появились несколько вопросов про refresh token для JWT. Я реализовал так
1: При входе юзер получает access token в виде json и каждый раз передает их в header,а рефреш токен храню в http-only cookie.
2: Есть еще маппинг на путь /refreshtoken который обновляет оба токена.
Вопрос:Зачем мне рефреш токен хранить в куки если я так же с access токеном могу обновить обращаясь к /refreshtoken,или при рефреш мне нужно проверять куки?
askar98, ну как бы все что хранится на клиенте имеет одинаковую безопасность. А лишние куки передаются в заголовках по сети. Если это не https то пиши пропало). Есть еще Session Storage, кстати