Как правильно хранить refresh token в веб-приложении?

Делаю авторизацию для SPA и backend API. Хочу понять, что безопаснее: httpOnly cookie, localStorage или отдельная сессия на сервере? Какие риски важно учесть?

Ответы