o timeout do refresh token por um tempo longo
E se uma pessoa não autorizada tiver acesso à esse token?
O maior problema de usar tokens JWT é justamente a impossibilidade de revogar eles antes da hora. Token com tempo muito longo podem abrir um bracha de segurança (hijacking)
qualquer extensão de navegador lê localStorage, esse é o local menos seguro para armazenar dados.
cookies não http-only também
Explica pra mim, cara
editei o comentário acima com um link da Mozilla explicando o que é um ataque XSS.
Mas basicamente você nunca deve confiar no browser da pessoa.
Essa pessoa pode usar extenções maliciosas que injetam scripts no navegador.
Se você não configurar certinho os headers do seu site esses script podem sim ler o LocalStorage, cookies que não estão marcados como HTTPOnly, qualquer input de formulários e qualquer informação presente na página.
leia este artigo para entender boas práticas de onde salvar cada coisa
e acho que você(s) estão equivocados
Entre você e na empresa que desenvolve um dos maiores navegadores eu vou confiar em quem?
