Где хранился access и refresh токен?

Access и refresh токены обычно хранятся на клиенте, но выбор места хранения зависит от требований безопасности и архитектуры приложения.

• Access токен часто хранится в памяти приложения (например, в состоянии React) или в sessionStorage, так как он короткоживущий и используется для авторизации запросов.
• Refresh токен обычно хранится более надежно, например, в HttpOnly cookie, чтобы защитить его от XSS-атак, так как он используется для получения новых access токенов.

Пример:

// Access токен в памяти
let accessToken = null;

// Refresh токен в HttpOnly cookie (устанавливается сервером)
// Клиент не имеет доступа к этому cookie напрямую

Хранение в localStorage не рекомендуется для refresh токена из-за риска XSS.