|
там не надо хранить секретных данных. С другой стороны, если он есть, то не только его декодировать можно, но и получить все права данного юзера. Как с кукис - есть кукис - есть вход.
Единственное, что я не понимаю, почему есть такая тема, как рефреш токена. Про рефреш кукисов никто не говорил, все считалось безопасным. А jwt же по сути то же самое - хранится локально в браузере, передается по сети при каждом запросе. Но вот зачем то их надо рефрешить, хоть убей, желательно каждые несколько минут. Кто-нибудь может объяснить, зачем это надо (по сравнению с кукис), и если правда надо, то как реализовывать?
|