Как реализовать JWT аутентификацию в Node.js?

jsonwebtoken: jwt.sign({ userId, email }, secret, { expiresIn: "15m" }) — создаёт token. jwt.verify(token, secret) — валидирует. Хранение: httpOnly cookie (защита от XSS) или localStorage (удобнее для SPA, но XSS риск). Access token короткий (15min), refresh token длинный (7days). Refresh token в httpOnly cookie или в БД. Middleware: проверяет Authorization: Bearer token header, добавляет req.user. В NestJS: JwtStrategy + @UseGuards(JwtAuthGuard). Никогда не храни sensitive данные в JWT payload — он декодируется без подписи.