необязательно общей, но что-то нужно хранить в куках, если нужен ssr
у если не юзать ssr, то окей можно не юзать куки вообще
тут лучше на 2 части разделить разговор (есть SSR и нет)
вот сначала есть есть, то где хранить access и refresh, я предлагал access в куках, refresh в ls, так как не вижу других адекватных вариантов
если SSR нет, то вы предлагаете вообще не хранить access вообще, а только инициировать его в инстансе, а хранить только refresh, чтобы при первой инициализации аппки получить новый access и засунуть его в конфиг http клиента. Окей, логично, но тогда не совсем ясно, что значит получать контент по refresh, если по по refresh можно получить контент, то зачем тогда нужен access?
1. Ни разу не видел, чтобы хранили access в куках, refresh в ls.
access — точно нужен с доступом из JS (если шлём в хедере), значит он не может быть в безопасной (httpOnly) куке.
refresh — нужен только для получения access, он не нужен в JS.
Вы предлагаете вариант, где оба токена доступны вместе из JS. Т.е. если до них доберутся, то сразу до двух. К рефрешу не должен быть доступ из JS
2. Я нигде не говорил получать контент по рефреш. По рефреш можно получить аксесс, а по аксесс уже контент.
Т.е. на SSR всё работает ровно также, как на клиенте.
Но это теоретическая идея, я так не пробовал и не видел, что делали.
