Witam, skończyłem kurs NodeJS na udemy, było tam pokazane użycie JWT dla prostego API. Moim celem jest stworzenie aplikacji klienckiej która pozawala na zalogowanie się do "systemu" ( API ).
Pierwszą rzeczą jakiej dokonałem to dodanie refresh token'ów. W sensie chcę tak to zrealizować jak inni mówią że jest względnie bezpiecznie, czyli access token będzie przechowywany w zwyczajnej zmiennej, natomiast refresh token w plikach cookie. To ponoć zabezpiecza przed CSRF, bo taki refresh token może być użyty wyłącznie do uzyskania nowego tokenu, nie dokonamy za jego pomocą żadnych zmian na serwerze/bazie danych.
I tu się zastanawiam, jaki problem żeby skrypt na innej stronie, na podstawie refresh tokenu zapisanego w plikach cookie, uzyskał dla siebie nowy access token, a następnie dokonał konkretnych zmian... Jest to bardziej skomplikowane, ale nie niemożliwe...
Takie coś nawet ja potrafił bym napisać mimo że jestem jeszcze kompletnym noobem 
Może ja czegoś tu nie rozumiem, w każdym bądź razie będę bardzo wdzięczny za odpowiedź. Z góry wam dziękuję i pozdrawiam!