Вопрос не по теме, но все же) а зачем рефреш токен в spa?) Его же никак не сохранить с меткой httpOnly.

И как в spa поступают тогда?

Вообще хранить рефреш токен на клиенте довольно опасное занятие.

Там у тебя небось какой-нибудь serverless?

Очень часто это люди нахвата
тся разных рекомендаций по безопасности, а потом используют их не понимая

Слышали про рефреш-токен, но упустили что он должен быть в httpOnly-куках и хранят в клиенте

Карго-культ

Как именно поступать сильно зависит от задачи.

Если нужно просто сохранить токен для общения с сервером, то лучше поставить его в httpOnly-куку (использовать один токен, без его обновления)

Главная вещь, о которой помогает думать — от каких ветеринара атаки мы защищаемся.

Тут их несколько:
1. XSS с доступом вредоносного кода данным приложения (защищено httpOnly-кукой)
2. Перехват токена MitM (защищено HTTPS)
3. Захват токена при взломе/утере компьютера (надо придумать средства отзыва старых токена пользователем)
4. Доступ домочадцев когда пользователя нет рядом (это нужно редко, но обычно переспрашивая пароль для опасных действий или биометрией)

по поводу цсс модулей не дай себя переубедить ты все делаешь правильно, свелт банально не дает базовой возможности поставить марджины дочернему компоненту без использования глобала.

Семантически разные компононенты но выглядещие одинаково стоит свести к одному глупому компоненту и двум семантическим компонентам-оберткам, которые ее используют.

А ставить маржины дочернему элементу это разве не анти-паттерн? Это же нарушает изоляцию

Я обычно делаю ещё один элемент обёртку в родителей для маржина чтобы сохранять изоляцию (в ребёнке например может уже стоять свой отрицательный маржин для какого-то хака, который ты сломаешь)

Гыг, за Александр тебя засмеёт))))

Это ты сейчас зря. Александр тут адепт веры постановки марджинов дочерним компонентам, это очень больная тема.

Но с моей стороны +1

Больная тема 😄

Надеюсь, это не прозвучало как троллинг. У всех свои задачи и представления об их решении.

Ну тут вопрос — вас изоляция или удобство 😸

Странно тогда брать CSS Modules. Если хочется удобство, проще выключить изоляцию селекторов вообще и фигачить БЭМ разрешая расширять блоки

Я рефреши если они имеются храню исключительно на BFF, но если BFF нету, то конечно вопрос интересный. HttpOnly частично решает проблему, но кажется все равно немного не естественным. Вообще не уверен что система с 2-мя токенами очень то нужна для простых схем фронтенд-бекенд. Внешняя авторизация через oauth понятно зачем.

То есть ты используешь старый коротко-живущий токен для обновления его самого?