Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!

Фронтенд получает только сессионную cookie (HttpOnly, Secure, SameSite) для идентификации текущей сессии.
Сразу два вопроса:
А зачем в этой истории вообще токены?
Как защищать сессионную куку?
В таких случаях сервер должен применить политику burn the family: инвалидировать все токены, принадлежащие этой семье (все refresh-токены, порождённые одной сессией), и принудительно разлогинить пользователя.
Как предлагагается бороться с ситуацией, когда несколько вкладок одновременно пытаются ротировать один и тот же токен? И как бороться с ситуацией, когда браузер и SSR-бекенд одновременно пытаются ротировать токен?
Жизненный цикл API-токенов: От генерации до компрометации