Как правильно разработать логику авторизации?

Question

[Artem Nanavov]

Сервер написан на node.js + express

Есть роутер auth, в нем есть login + reg

При успешной рег/входе сервер присылает куку где есть refresh_token.

Мое непонимание начинается тогда, когда входить и рег. может мобильное приложение, сервер то возвращает куку с refresh_token, но ведь в мобильных приложениях нет кук, следовательно он никак не сможет достать refresh_token (как я понимаю)

Так вот, надо ли писать новую рег/вход для мобильного приложения или нет?
Как правильно организовать логику авторизации для браузера и моб. приложения

И если можно, опишите как на практике происходит рег/вход в мобильных приложениях (как они получают токен, куда его прячут и тд)

Answer 1

[Иван Кулаков]

В моб. приложении цепляйте куку с сервера и кодируйте в надежное хранилище, либо сервером прям отдавайте не куку, а сам токен и также прячьте.
UPD: В принципе, эмуляция кук на мобилках дело простое, многие так делают.