Я пытаюсь понять, как работает аутентификация с помощью jwt, и у меня есть несколько основных вопросов.
1) Отправляет ли пользователь как accessToken, так и refreshToken с каждым запросом?
2) Если да, то как он отправляет refreshToken (я знаю, что accessToken находится в заголовке http)
3) Сервер должен сначала проверить accessToken (с подписью), а затем проверить, прошло ли время истечения срока действия. Это правильно?