Всё так. Есть классическая очень хорошая и наглядная статья про это https://journal.stuffwithstuff.com/2015/02/01/what-color-is-your-function/

Подскажите пожалуйста, какое время жизни я должен установить токенам (refresh и access) если я хочу, что бы пользователь принудительно перелогинивался каждый месяц.
И где хранить refresh токен соответственно, в редисе или постгресе?

Сделай refresh на столько сколько тебе хочется чтобы он перелогинивался, а access сделай на несколько минут

У тебя получается не JWT, просто JWT не надо хранить, в этом их и прикол, но я видел что и их хранят.

По хранениею где хочешь, я думаю. Просто надо понимать какие когда могут быть минусы и какие у тебя сценарии использования. Я думаю для простого случая не принципиально где ты хранишь токены.

не хотелось бы только что кто угодно имел доступы к БД (авторизация доступа), чтобы там было шифрование еще. Ну это все вроде и там и там имеется.

Ну я могу ошибаться, я не эксперт в авторизациях.

> Сделай refresh на столько сколько тебе хочется чтобы он перелогинивался, а access сделай на несколько минут

Тогда выходит нестыковка, рефреш токен должен меняться при обновлении access токена, т.е. установленный срок естестественно не успеет истечь

ну хз, надо смотреть механизм авторизации ваш ,я же не знаю что там у вас реализовано)

Вот тут по ссылочке я ничего такого не вижу, да может быть revoked, но там для этого должны быть причины ,просто так при каждой выдаче access токена такого налюдаться не должно

https://auth0.com/learn/refresh-tokens/

Там кстати и рекомендации по хранению есть

Я бы рефреш хранил в постгресе. Что касается перелогина каждый месяц - то я с таким требованием не сталкивался, не понятно, какую задачу это решает. Но, если необходимо, можно при обновлении рефреш токена брать дату смерти старого токена и устанавливать её же новому, а первоначально установить её в 1 месяц с момента логина. Тут, правда, надо еще понять, должны ли мы разлогинивать пользователя на всех устройствах и, если да, то через месяц после входа на этом устройстве, или на первом/последнем. Если второй вариант, то там немного сложнее выйдет, но суть примерно та же.

А почему удаляется опросник?
Это противоречит правилам чата?

Я расцениваю это как рекламу вашего курса

Я думал это стандарт, принудительный перелогин каждые N месяцев

Я бы токены хранил в редисе с указанием времени жизни объекта.
Это такая вещь, которой не жалко пожертвовать если база похерится и заставить всех перелогиниться заново

А нагрузка на основную бд снизится в некоторых случаях значительно

А самое главное, какое время жизни устанавливать токенам и нужно ли обновлять оба токена при смене access токена (тогда зачем время жизни рефреш токену) ?

О каких токенах речь? Начнём с этого

О refresh token и access token

Да, логично)
Я бы не делал дольше нескольких дней.
Если пользователь за это время не пришёл на сервис, логично его разлогинить

access - стейтлесс, его в базе хранить не нужно.

За время жизни 1 логина (несколько дней) пользователь получает только 1 рефреш токен или нет?

На каждое обновление access - новый рефреш и аксесс. Рефреш одноразовый.

Т.е. действовать как вы предложили, отмерять время жизни токенов, т.е. 1 процедура логина включает в себя несколько рефреш токенов?