Аутентификация OAuth2 в React

как повысить безопасность форм входа и регистрации

Эффективнее всего все эти формы cделать на бэкенде, отключить им CORS-заголовки и защищать CSRF-токенами и капчей, чтобы их не спамили и не подбирали из JS-кода с других сайтов. И для защиты от перебора сделать Rate Limit, временно блокируя форму после нескольких ошибок.

Но от целенаправленных атак спама или подбора это всё равно не спасёт. Спамер завалит сайт запросами в цикле через любой HTTP-клиент или браузер в PuppeteerJS и сделает распознавание капчи.

в том числе от угона refresh_token

Это обсуждали в комментариях к первому эпизоду про OAuth.

Для защиты от угона рекомендуют серверу ауетентификации возвращать refresh_token через Set-Cookie с привязкой к своему пути path=/token и с httpOnly=true. А потом Ajax-запрос на обновление токена делать с allowCredentials=true, чтобы браузер передавал эту куку с токеном. Так токен будет полностью недоступен из JavaScript и никакой сторонний JS-код не сможет его узнать.

И заодно на стороне бэкенда можно добавить блокировку refresh_token если пришёл повторный запрос на обновление с этим же токеном.

Не совсем понятно почему из всех подходов остановились здесь на хранении refresh_token в LocalStorage.

Это самый лёгкий вариант. Его стоит бояться если на нашем сайте может оказаться чужой JS-код, который отправит хозяину содержимое нашего LocalStorage. У нас по умолчанию React экранирует весь выводимый контент. И мы не будем подключать посторонние скрипты. Так что это для нас не так критично.

Если хакеру много заплатят, то он арендует себе тысячу прокси-серверов и напишет нейронку для разгадывания любой капчи. Либо напрямую взломает сервер. Либо устроится на работу на испытательный срок по поддельным документам, чтобы залить закладку и уйти. Либо шантажом завербует программиста компании, чтобы всё слить через него. Угрозы бывают разные. От всего не защитишься.