SPA отправляет логин/пароль юзера на первый endpoint. В ответ получаем access_token (например, JWT), refresh_token и expires_in. Сохраняем все это добро куда-нибудь, например, в Local Storage. Время жизни JWT-токена лучше ставить небольшое (например, 1 час), потому что отозвать его нельзя. Далее SPA при каждом запросе к API проверяет время жизни токена expires_in из Local Storage, и когда оно истекает, отправляет запрос на обновление токена (refresh_token). Все это прозрачно для юзера.

решение однако

через рефреш токен

чувствую слезу обратно на passport

Да, это более продвинутая версия того, что предлагал выше, как я это вижу). Спасибо, что поделился)

вообще пишут что local storage недоступен к CSRF

но к XSS да

хотя я  не помню все эти термины

А где пишут?

Привіт, планується магазин на 1000-1500 товарів. Проектую таблицю товару і виникло питання. Посилання на зображення товару планується зберігати в JSON. Де краще їх тримати, в окремій таблиці з релейшеном до товару чи колонкою в таблиці товару?

А чому посилання json?

масив посилань на зображення в джейсоні зберігається, бо зображення додаються одним мультиінпутом

в адмінці, яка там зараз є готовий компонент, який так працює, тому його й хочу використати, щоб нового не допилювати

З точки зору структуризації краще в окрему таблицю, але я б робив json через простоту взаємодії

Якби планувалась велика к-сть товарів, то теж виділив би в окрему таблицю, а так специфіка товарів не передбачає їх великої кількості, тому майже впевнений, що великого навантаження на таблицю не буде, тому теж більше схиляюсь до json в таблиці з товарами

axios не запоминает куки XSRF-TOKEN, хотя перепровериk и cors и внутри axios.request.withCredentials = true

можно насильно через interceptors конечно, но понять надо - он должен же?

запросы через cross domain идут (не совпадают домены SPA и лары)