Как хранить токены на клиенте?

Два основных варианта: HttpOnly cookie или localStorage/memory. Cookie с HttpOnly + Secure + SameSite=Strict — безопаснее, JavaScript не имеет доступа, защита от XSS. Но нужна CSRF защита. localStorage — проще для SPA, но уязвим к XSS: любой скрипт может прочитать токен. Лучший вариант для SPA: access token в памяти (переменная), refresh token в HttpOnly cookie. При перезагрузке — silent refresh через cookie.