Лучше не городить фантазии, а придерживаться идеологии oauth2 с accessToken, refreshToken. Ну и не хранить их конечно же в localStorage, как делают все повально. Все нюансы отлично кладутся на плоскость gql, было бы желание сделать хорошо

да вопрос не в авторизации, вопрос в обработке ошибок и как это делать правильно в gql.
Вот случилась такая ошибка, из-за которой нельзя дальше работать в приложении, мы хотим обрабатывать такую ошибку в одном месте. Берем глобальный обработчик, смотрим ага есть такая ошибка, тут надо кинуть пользователя на экран логина, а что с самим запросом в котором ошибка делать? Его надо дальше по цепочке бросать? ничего не делать? выкинуть исключение в коде?

Вы сами себе противоречите, HOC и работает так, что он оборачивает каждый запрос/компонент. Бросаем клиента на экран логина, а что делать с его запросом на ваш вкус - хотите, храните состояние и после авторизации повторяйте запрос, хотите не храните. Нет тут правильного решения, есть только логика ту, что вы завяжете. Старайтесь делать все части приложения слабосвязанными, например клиент заполняет форму, сохраните поля локально в браузере, у него нет активного токена, кидаем его на логин, запоминая предыдущий роут, после авторизации смотрим, есть ли запомненный роут, если да - кидаем его обратно, а для формы подтягиваются данные, те что мы ранее сохранили. В чем прикол описывать банальную логику, если в каждом проекте это индивидуально?

> Ну и не хранить их конечно же в localStorage, как делают все повально.

Это ещё почему?

Да начнется холивар!

Xss

cookie также можно достать через XSS

Вариантов-то и нет, собственно: localStorage, cookies, in-memory.

Причём in-memory самый секьюрный, но есть ограничения, с которыми никто не согласен мириться: не шарится между вкладками/окнами, не переживает закрытие браузера.

А HTTP куку запретили юзать?🤔

Просто не нужно подключать всякие сторонние скрипты по CDN и будет всё ок.

Http only?

Решение при inmemory bff

Проксирующий рефреши через себя на бек

и что?

Ну достань мне через xss токен с http only и указанным доменом

Ясненько)

Вы JWT токен в cookie как будете сохранять? При помощи JS?

кто в здравом уме это делает?