Нужно ли использовать CSRF при установке JWT-токена с помощью cookie в Django?
Я разрабатываю бэк-энд API на Django, который использует токены JWT для аутентификации. Прочитав множество статей об аутентификации и безопасности JWT, я пришел к выводу, что лучше всего хранить маркер обновления JWT с помощью куки HttpOnly. Я также прочитал, что при использовании установки cookies с Django Rest Framework следует использовать CSRF-защиту.
Итак...
1. Нужно ли устанавливать CSRF-куки при установке маркера обновления JWT?
Я реализовал собственные методы для установки куки refresh_token при успешных запросах к LoginView и RefreshView. Если мне нужно установить CSRF-куки, должен ли я также установить его в тех же представлениях и затем подтвердить его при использовании маркера обновления, например, при обновлении и выходе из системы?
Также...
2. Как я должен хранить токен JWT access?
У меня есть React front end, и на данный момент я храню токены доступа в localStorage. Будет ли лучше, если я буду хранить токен в глобальном состоянии, например, используя Redux?
Простите меня, если я не знаю, о чем говорю - мои знания в области front-end очень ограничены.