Rsa97

Рабочий JWT в базе не хранится. Он отдаётся клиенту и предъявляется при каждом запросе к серверу. Защитой служит цифровая подпись токена (третий фрагмент), закрытый ключ которой известен только серверу, выдавшему токен.

Ваши сайты считаются разными из-за того, что herocuapp.com находится в Public Suffix List.

Баг в Сафари уже давно: https://developer.apple.com/forums/thread/658688

Самый надёжный способ - отказаться от кук и передавать токен в данных или отдельном заголовке запроса.

https://developer.mozilla.org/en-US/docs/Web/HTTP/...