membocorkan token. Selain itu, untuk menghindari Cross-Site Scripting (XSS) attack, penyimpanan token di client harus dilakukan dengan hati-hati. Menggunakan HTTPOnly cookie bisa menjadi pilihan yang aman untuk menyimpan token di sisi client. Selain itu, pertimbangan lain adalah 'token refresh'. ... Dalam banyak kasus, tidak praktis untuk meminta pengguna login ulang setiap kali token kedaluwarsa. Oleh karena itu, bisa digunakan mekanisme 'token refresh' dimana client akan meminta token baru dengan menggunakan token lama sebelum token lama tersebut kedaluwarsa. Ini memungkinkan pengguna untuk