带有/刷新的身份验证的安全性和最佳实践

假设我有一个Web应用程序，我在其中实现了刷新令牌

< li >用户使用发送到< code>/login REST APIendpoint的正文中的用户名和密码登录。

• endpoint创建一个到期时间为1个月的刷新令牌，并将散列后的刷新令牌存储在对应于用户ID的Db中。
• endpoint创建到期时间为15分钟的JWT访问令牌，该令牌使用服务器密钥签名并对用户ID进行编码。
• endpoint使用刷新和访问令牌响应客户端的到期时间。
• 客户端将刷新令牌存储在local存储中，并将访问令牌存储在内存中。

< li >endpoint检查访问令牌JWT是否由服务器密钥签名。 < li >endpoint检查访问令牌JWT未过期。 < li >如果endpoint返回未授权，或者客户端检查访问令牌是否过期，请从< code>/refreshendpoint获取新的访问令牌JWT，然后重试。

• 如果 Db 表中存在刷新令牌的哈希值，则返回关联的用户 ID 并生成由服务器签名的新访问令牌 JWT。同时生成新的刷新令牌，从 DB 中删除旧条目，然后插入新条目（刷新令牌轮换）。
• 如果 Db 表中不存在刷新令牌的哈希值，则返回未授权，用户被注销并要求重新登录（即步骤 #1）。
• 对客户端的响应已更新刷新令牌和访问令牌 JWT。
• 客户端像以前一样将刷新令牌存储在本地存储中，访问令牌 JWT 存储在内存中。

我的问题是：

< li >刷新令牌存储在< code>localStorage中，这对于使用开发工具的用户是可见的。难道恶意用户就不能获取这个刷新令牌并将其传递给< code>/refresh以获得功能访问令牌JWT吗？然后，他们可以使用令牌发出恶意请求。我没看到任何地方提到这个？刷新令牌是否不应存储在< code>localStorage中？

总的来说，与这个问题相关的是，这个流程和实现是否安全？这是最佳实践吗？应该改变或改进什么？

如果刷新令牌到期时间为1个月，并且用户1个月未登录，他们将被自动注销并需要重新进行身份认证。有什么办法解决这个问题吗？

有没有用于NodeJS的库或框架可以为您管理它？我找不到任何。我只能看到诸如“使用GitHub登录”或“使用Google登录”等内容的OAuth2库。