Boa tarde. 
Eu gosto de usar o refresh token salvo nos cookies da api e o jwt token no local storage da interface.

Se você tiver acesso ao dispositivo e quiser copiar o token, ja dificulta mais um pouco. Mas de toda forma, se o cara tem acesso à máquina, ele vai conseguir suas senhas.

Boa tarde. Eu gosto de usar o refresh token salvo nos cookies da api e o jwt token no local storage da interface. Se você tiver acesso ao dispositivo e quiser copiar o token, ja dificulta...