Вопрос проверяет понимание того, когда и как access token должен участвовать в сетевых запросах.
Access token добавляется в HTTP-запросы перед их отправкой на сервер. Обычно он передаётся в заголовке Authorization. Токен должен присутствовать только в защищённых запросах. Его добавление должно быть централизованным, а не вручную в каждом вызове API.
Access token используется исключительно для авторизации запросов к защищённым ресурсам.
Access token добавляется:
непосредственно перед отправкой HTTP-запроса
автоматически, без участия бизнес-логики
Обычно используется заголовок:
Authorization: Bearer <access_token>
Токен добавляется:
к запросам к защищённым API
к пользовательским операциям
к запросам, требующим аутентификации
Токен не добавляется:
к публичным эндпоинтам
к запросам логина и refresh
к запросам загрузки статических ресурсов
Централизованное добавление токена:
снижает вероятность ошибок
упрощает поддержку кода
исключает утечки токена
Вывод:
Access token должен добавляться автоматически перед отправкой защищённых HTTP-запросов, без ручного вмешательства разработчика.
