Вопросы React Frontend Developer

Access token используется для доступа к API и имеет короткий срок жизни. Refresh token нужен для получения нового access token и живёт дольше. Access token отправляется часто, refresh token — редко. Потеря access token менее критична, чем утечка refresh token. Поэтому refresh token защищают строже.

Access token обычно хранится в памяти приложения или в JavaScript-переменной. Refresh token рекомендуется хранить в httpOnly cookies. Такое разделение снижает риск XSS-атак. Frontend не должен хранить оба токена в localStorage. Безопасность хранения напрямую влияет на устойчивость приложения.

При истечении access token frontend должен попытаться обновить его с помощью refresh token. Пользователь не должен замечать этот процесс. Если обновление прошло успешно, запрос повторяется. Если нет — пользователь разлогинивается. Такой сценарий обеспечивает плавный пользовательский опыт.

При невалидном access token backend обычно возвращает статус 401 Unauthorized. Это означает, что запрос не может быть выполнен без корректной аутентификации. Такой статус сообщает frontend о проблеме с токеном. Frontend может использовать его как сигнал для обновления access token. Это стандартное поведение в REST API.

Access token добавляется в HTTP-запросы перед их отправкой на сервер. Обычно он передаётся в заголовке Authorization. Токен должен присутствовать только в защищённых запросах. Его добавление должно быть централизованным, а не вручную в каждом вызове API.