Роман, refresh-token хранится на клиенте в http-only cookies и эти cookies отсылаются при каждом запросе, после чего сервер получает refresh token, проверяет его, создаёт новый и в ответ устанавливает новые http-only cookies с новым refresh-token. В целом туда-же можно и даже нужно ложить access-token
Написано
Войдите на сайт
Чтобы задать вопрос и получить на него квалифицированный ответ.
