Handelt sich eigentlich um ein ziemlich ordinäres Login System, wo der Client quasi eingeloggt bleibt und so auf einen privaten Bereich Zugang hat. Hier böte sich natürlich auch die PHP SESSION Variable an, die ja aber aber den "Nachteil" mit sich bringt, dass die Beziehung Client/Server dann nicht mehr stateless ist (Frage der Skalierbarkeit).

Zwar ließen sich mithilfe der SESSION Variable Brute Force Attacken durch Rate Limiting ganz gut in den Griff kriegen - das müsste aber andererseits eigentlich auch mit mit Zeitstempel versehenen JWT Tokens gut umsetzbar sein…

Aber wie funktioniert in diesem Fall das Zusammenspiel zwischen Refresh und Access Tokens sinnvollerweise?

Danke, Xandl.