Логотип YeaHub

База вопросов

Собеседования

Тренажёр

База ресурсов

Обучение

Навыки

Задачи

Войти

Выбери, каким будет IT завтра — вместе c нами!

YeaHub — это полностью открытый проект, призванный объединить и улучшить IT-сферу. Наш исходный код доступен для просмотра на GitHub. Дизайн проекта также открыт для ознакомления в Figma.

© 2026 YeaHub

AI info

Карта сайта

Документы

Медиа

Специализация

Python Backend Developer

Java Backend Developer

Node.js Backend Developer

Golang Backend Developer

React Frontend Developer

Посмотреть все

Выберите навыки

React

React

JavaScript

JavaScript

Git

Git

Redux

Redux

Webpack

Webpack

Посмотреть все

Сложность

1-3

4-6

7-8

9-10

Рейтинг вопросов

1

2

3

4

5

Подпишись на React Developer в телеграм

Вопросы React Frontend Developer


В чём разница между access token и refresh token?

Где рекомендуется хранить access token и refresh token и почему?

Почему refresh token часто хранят в httpOnly cookies?

Почему refresh token не стоит отправлять с каждым запросом?

  • Рейтинг:

    5

  • Сложность:

    7

Access token используется для доступа к API и имеет короткий срок жизни. Refresh token нужен для получения нового access token и живёт дольше. Access token отправляется часто, refresh token — редко. Потеря access token менее критична, чем утечка refresh token. Поэтому refresh token защищают строже.

Подробнее
  • Рейтинг:

    5

  • Сложность:

    8

Access token обычно хранится в памяти приложения или в JavaScript-переменной. Refresh token рекомендуется хранить в httpOnly cookies. Такое разделение снижает риск XSS-атак. Frontend не должен хранить оба токена в localStorage. Безопасность хранения напрямую влияет на устойчивость приложения.

Подробнее
  • Рейтинг:

    5

  • Сложность:

    8

Refresh token часто хранят в httpOnly cookies, потому что такие cookies недоступны из JavaScript. Это защищает токен от XSS-атак. Браузер автоматически отправляет cookie с запросами к серверу. Такой подход снижает риск кражи токена через вредоносный скрипт. Это считается best practice для SPA.

Подробнее
  • Рейтинг:

    4

  • Сложность:

    5

Refresh token предназначен для получения нового access token, а не для аутентификации каждого запроса. Отправка refresh token с каждым запросом увеличивает риск его перехвата и компрометации учетной записи. Access token, напротив, имеет короткий срок жизни и используется для каждого запроса, что минимизирует последствия утечки. Refresh token хранится в безопасном месте (например, httpOnly cookie) и передается только при обновлении токена.
Подробнее