Где хранить токены
 

Есть spa приложение на react, есть refresh token и access token. А вот где их хранить, чтобы не сперли? В куках и локалсторадже ненадежно. В редаксе (сторе) тоже не советуют.

Гуглил - в примерах рассматривают куки, локалсторадж, а в конце пишут, что в серьезных приложениях так делать не стоит:D

Из куков или локал стораджа спереть может только сам пользователь, через консольку ) Ну или чужой скрипт, попавший на страницу по вине кривожопых говнокодеров, не подумавших о безопасности. И даже в этом случае, если кукис http-only, то не сопрут.