> Браузер делает setCookie
У тебя вот тут ошибка.   🙂

Кука, это штука, которая управляется с бека.

так

да, хидером в ответе..

Смотри, refresh-токена долстаточно, чтобы сделать любой запрос. Отдельного эндпоинна на обновления токена не существет. И дальше это работает так… Чуть упрощённо.
1. Юзер залогинился и браузер в куке httponly получил пару токенов;
2. Клиент делает свои запросы на сервер, всё работает, а сервер проверяет только подпись access-токена;
3. В какой-то моент сервер видит протухший access-токен и проверяет refresh-токен. Проверяет внимательно, заглядывая в базу на тему не отозван ли он. Если всё ok, то сервер генерирует новый access-токен и с ответом (полноценным, не 403) отдаёт браузеру новый токен;
4. Возвращаемся в п.2.

Это вопрос экономии ресурсов.   🙂

То же самое, применимо к refresh-токену. Его тоже можно обновлять, но до его экспайра. Т.е. каждый запрос его читать, смотреть, сколько ему осталось, и если осталось не много, то генерировать новый и отсылать.

В этой схеме проблема множества вкладок решена, так как возникшая в какой-то момент гонка не создаст значительных проблем. Ну выпустим мы несколько токенов. Ну и фиг с ними — в куках останется один и он будет работать.

Обновление refresh-токена редко, но и тут решаемо. Его можно хранить на беке и, если вдруг пришли с протухающим токеном, то не генерить новый, а взять из базы недавно сгенерённый. Но это усложнение, которое, весьма вероятно, тебе не нужно.

тут @llamakarl не может сообщение отправить. ее почему-то бот блочит.

цитирую:

Ребята, привет! Я Алёна  #whois, tech community manager в tech travel компании Kiwi.com, мы есть в Праге, Брно, Барселоне, Братиславе, Кошице, Лондоне, Майями, и мы релоцируем 🙂 А ещё мы с нашими питонистами собираемся в митап-тур в Россию в 2022 и только что организовали 15й python weekend и планируем 16й в России 🙂 Пишите если интересно про релокацию, мероприятия, поболтать с нашими питонистами 🙂 Привет-привет!

от себя:

ребята думают заехать в 2022 в НН и собраться про питон поговорить. да докладов сделать.

Давай с нами во Владивосток!

да, всё так) только я рассматриваю случай когда выдачей токенов занимается независимая сторона.
дальше уже у нас холивар идет )

далеко! а у меня ремонт!

Независимая сторона, это не значит, что к ней ходят напрямую из браузера. Это можно завернуть в мидльварь бека. Чего и рекомендую.
Без всяких холиваров.

Дык я не тебя зову же! Я знаю, что тебе делеко….   🙂

Серег, тупой вопрос - если пихать в подпись все заголовки, то как быть с какими-нибудь типа X-Forwarded-For, которые по дороге от клиента к серверу могут появиться?

А вы не контролируете что ли кто их и зачем вставляет? Вы проверяйте только те, которые клиент генерирует

ну то есть все-таки пинить заголовки, но пинить все какие были на клиенте, а не то что в голову взбрело?

спасибо )

по поводу того, что мы контролируем лично я не знаю, там ВАФ то появляется, то исчезает, и в ингрессе что-то да происходит. дебри короче, а я тут не очень давно сижу

красота, у вас WAF есть. так пускай он ботов и отстреливает, что вы, зря платите