Cześć,
próbuję dobrze zrozumieć jak działa JWT w ASP. Na zdecydowanej większości tutoriali w controllerze Login zwracany jest np. obiekt tokens, który zawiera w sobie accesstoken oraz refreshtoken.
Pierwsze pytanie jest czy zwracanie tokenów przez metodę Ok jest ok? W sensie, wszyscy piszą, że tokeny powinno się przechowywać w cookie httponly.
Zastanawiam się więc czy ASP.NET sam jakoś rozpoznaje gdzie to ma wylądować i user nie ma do tego dostępu czy to powinno być jednak inaczej przekazywane?
Drugie pytanie dotyczy autentykacji użytkownika. Jak generuję dwa tokeny (access i refresh token) i przekazuję je do usera to czy asp.net jakoś rozpoznaje który jest który? Bo jeśli są podpisane tym samym kluczem (fakt, może być inne) ale jeden token ma długość życia np. 5 minut a drugi 5 dni to skąd ASP wie, który jest który? Czy dwa różne klucze dla access i refresh tokena nie spowodują jakiś wyjątków gdy ASP zacznie weryfikować podpisy?
Z góry dziękuję za pomoc.