Где рекомендуется хранить access token и refresh token и почему?

Question

Access token обычно хранится в памяти приложения или в JavaScript-переменной. Refresh token рекомендуется хранить в httpOnly cookies. Такое разделение снижает риск XSS-атак. Frontend не должен хранить оба токена в localStorage. Безопасность хранения напрямую влияет на устойчивость приложения.

YeaHub · Accepted Answer

Хранение токенов — один из самых критичных аспектов frontend-безопасности.Хранение access tokenРекомендуемые варианты:В памяти приложения (state, closure)В runtime-переменнойПочему так:Минимальный риск утечкиТокен очищается при перезагрузке страницыПодходит для короткоживущих токеновНежелательные варианты:localStoragesessionStorageПричина — уязвимость к XSS-атакам.Хранение refresh tokenНаиболее безопасный вариант:httpOnly cookiesПреимущества:Недоступен из JavaScriptЗащищён от XSSАвтоматически отправляется браузеромДополнительные флаги:SecureSameSiteПочему нельзя хранить оба токена в одном местеЕсли злоумышленник получит:access token → временный доступrefresh token → постоянный доступРазделение хранения снижает последствия атак.Вывод:Access token лучше хранить в памяти, refresh token — в httpOnly cookies. Это считается наиболее безопасной и практичной схемой для SPA.