Boa tarde.
Eu gosto de usar o refresh token salvo nos cookies da api e o jwt token no local storage da interface.
Se você tiver acesso ao dispositivo e quiser copiar o token, ja dificulta mais um pouco. Mas de toda forma, se o cara tem acesso à máquina, ele vai conseguir suas senhas.