Вопросы React Frontend Developer

Access token хранится в памяти или LocalStorage для доступа к API. Refresh token хранится в HttpOnly cookie для безопасного обновления. Токен автоматически добавляется в заголовки запросов и обновляется при истечении.

Безопасность при компрометации токенов обеспечивается коротким временем жизни access-токенов (минуты/часы), использованием refresh-токенов с возможностью отзыва, ведением blacklist скомпрометированных токенов и отслеживанием подозрительной активности. При обнаружении компрометации все токены пользователя немедленно отзываются.

Access-токен нужен для запросов к API, Refresh-токен — для продления access-токена, ID-токен — для передачи информации о пользователе. Они выполняют разные функции и используются в механизмах авторизации.

Access token используется для доступа к API и имеет короткий срок жизни. Refresh token нужен для получения нового access token и живёт дольше. Access token отправляется часто, refresh token — редко. Потеря access token менее критична, чем утечка refresh token. Поэтому refresh token защищают строже.

Access token обычно хранится в памяти приложения или в JavaScript-переменной. Refresh token рекомендуется хранить в httpOnly cookies. Такое разделение снижает риск XSS-атак. Frontend не должен хранить оба токена в localStorage. Безопасность хранения напрямую влияет на устойчивость приложения.