Programador Web - Comunidad de Programadores

La confusion tipica con JWT:

El access token tiene que ser de corta duracion (15 min - 1 hora). Si alguien lo roba, el daño esta limitado.

El refresh token es de larga duracion (dias, semanas) y vive en una cookie httpOnly. Su UNICO proposito es obtener nuevos access tokens.

El error que veo: access tokens de 7 dias. Si alguien te roba ese token, tiene una semana de acceso y no puedes hacer nada.

Implementacion correcta: corta duracion + refresco automatico transparente al usuario.

JWT: lo que nadie te explica sobre los tokens de refresco