Recentemente fiquei sabendo sobre esse tal refresh token, até então nunca tinha usado, apenas o auth token

entendo que por trafegar menos, ele tem menos chance de ser interceptado, massssssssssssssssss, em um ataque de engenharia social, na qual o atacante convence a vítima a abrir o local storage e mandar o token pra ela, o invasor teria acesso a um token que pode gerar outro auth token, junto de outro refresh token, e assim ele poderia renovar todos os dias.

tô maluco ou não?

Boa tarde. 
Eu gosto de usar o refresh token salvo nos cookies da api e o jwt token no local storage da interface.

Se você tiver acesso ao dispositivo e quiser copiar o token, ja dificulta mais um pouco. Mas de toda forma, se o cara tem acesso à máquina, ele vai conseguir suas senhas.

Afinal, por quê RefreshToken é mais seguro?

Recentemente fiquei sabendo sobre esse tal refresh token, até então nunca tinha usado, apenas o auth token entendo que por trafegar menos, ele tem menos chance de ser interceptado, massss...