React Frontend Developer

Question 1

В чём разница между access token и refresh token?

Accepted Answer

Access token используется для доступа к API и имеет короткий срок жизни. Refresh token нужен для получения нового access token и живёт дольше. Access token отправляется часто, refresh token — редко. Потеря access token менее критична, чем утечка refresh token. Поэтому refresh token защищают строже.

Question 2

Где рекомендуется хранить access token и refresh token и почему?

Accepted Answer

Access token обычно хранится в памяти приложения или в JavaScript-переменной. Refresh token рекомендуется хранить в httpOnly cookies. Такое разделение снижает риск XSS-атак. Frontend не должен хранить оба токена в localStorage. Безопасность хранения напрямую влияет на устойчивость приложения.

Question 3

Почему refresh token часто хранят в httpOnly cookies?

Accepted Answer

Refresh token часто хранят в httpOnly cookies, потому что такие cookies недоступны из JavaScript. Это защищает токен от XSS-атак. Браузер автоматически отправляет cookie с запросами к серверу. Такой подход снижает риск кражи токена через вредоносный скрипт. Это считается best practice для SPA.

Question 4

Как должен вести себя frontend при истечении срока действия access token?

Accepted Answer

При истечении access token frontend должен попытаться обновить его с помощью refresh token. Пользователь не должен замечать этот процесс. Если обновление прошло успешно, запрос повторяется. Если нет — пользователь разлогинивается. Такой сценарий обеспечивает плавный пользовательский опыт.

Question 5

Какой HTTP-статус код обычно возвращается при невалидном access token?

Accepted Answer

При невалидном access token backend обычно возвращает статус 401 Unauthorized. Это означает, что запрос не может быть выполнен без корректной аутентификации. Такой статус сообщает frontend о проблеме с токеном. Frontend может использовать его как сигнал для обновления access token. Это стандартное поведение в REST API.

Question 6

В какой момент access token должен добавляться в HTTP-запросы?

Accepted Answer

Access token добавляется в HTTP-запросы перед их отправкой на сервер. Обычно он передаётся в заголовке Authorization. Токен должен присутствовать только в защищённых запросах. Его добавление должно быть централизованным, а не вручную в каждом вызове API.

Question 7

Как обычно реализуется добавление access token во все запросы?

Accepted Answer

Добавление access token обычно реализуется централизованно через обёртку над HTTP-клиентом. В случае Axios используются request interceptors. Для Fetch создаётся кастомная функция-обёртка. Это позволяет избежать дублирования кода и ошибок.

Question 8

Используются ли Figma Tokens и зачем они нужны?

Accepted Answer

Figma Tokens — это плагин и методология для управления дизайн-токенами в Figma. Токены — это абстрактные переменные, хранящие значения цветов, типографики, отступов и других стилей. Они нужны для создания единого источника истины для дизайна, который можно синхронизировать с кодом. Это обеспечивает консистентность между макетами и реализацией, ускоряет обновления и поддерживает темы (например, светлую и тёмную).

Question 9

Почему refresh token не стоит отправлять с каждым запросом?

Accepted Answer

Refresh token предназначен для получения нового access token, а не для аутентификации каждого запроса. Отправка refresh token с каждым запросом увеличивает риск его перехвата и компрометации учетной записи. Access token, напротив, имеет короткий срок жизни и используется для каждого запроса, что минимизирует последствия утечки. Refresh token хранится в безопасном месте (например, httpOnly cookie) и передается только при обновлении токена.

Вопросы React Frontend Developer