• Access token và refresh token thấy các dự án toàn lưu vào local storage, nhưng tìm hiểu sao bảo kém bảo mật, nên lưu vào cookie
• Cách refresh token, giải mã jwt ở frontend, lấy được tham số giờ hết hạn rồi đếm ngược, cho thời gian đệm khoảng 30s trước khi hết hạn, gọi api refresh token