Acabo de leerme el artículo completo de las dos cookies. Está genial.
Peter Locke propone llevar a cabo la autenticación diviendo el JWT en dos cookies:
- header.payload. Con atributo secure y duración de 30 minutos. Pueden leerse por el frontend.
- signature. Con atributo secure y HttpOnly. No disponible para el frontend y que se pierde una vez se cierra el browser.
¿Quieres ver más aportes, preguntas y respuestas de la comunidad?