D
хм, тогда расскажу свой кейс, а вы скажите где я что мог упустить.(Разумность использования JWT опустим, сам буду интересоваться у разрабочиков) Есть сайтец и есть другой поддомен с апишкой. Пользователь авторизуется через апишку и ему выдается акссес токенй живет 2 недели и лежит в localstorage. Это сделано так сейчас. Что предлагаю я: а) уменьшить жизнь аксесс до полу часа.б) выдавать в httponly куке refresh токен соответственно на api домен. в) сделать отдельный ендпоинт для обновления access токена, в который нужно передать рефреш(как кука) и акссес( по большому счету в качестве CSRF токена). г) ну там нормально настроить CORS только с сайтеца. И таким образом хотя бы делаем возможность сброса всех рефреш токенов у пользователя при смене пароля, но у нас останется: что если находят XSS на сайтеце и пиздят акссес, то потом так же могут обновлять его, получать новый акссесс, ставить его в том числе легетимному пользователю и сидеть параллельно. Хотя с какой-нибудь рефлект ксс это выглядит сильно геморно и малореально. Что еще мог не учесть?
