Solução 11 - Refresh Token e Segurança Avançada 🏗️

- **Limitação de danos**: Se comprometido, expira rapidamente
- **Redução de superfície de ataque**: Menos tempo para ser explorado
- **Facilita revogação**: Usuário fica "deslogado" naturalmente
- **Melhor auditoria**: Força re-validação frequente

```javascript
// ✅ Estratégia típica
const accessToken = jwt.sign(payload, secret, { expiresIn: '15m' });  // Curto
const refreshToken = jwt.sign(payload, secret, { expiresIn: '7d' });  // Longo
```

```javascript
const helmet = require('helmet');
app.use(helmet());

// Remove headers que expõem informações
// X-Powered-By: Express → (removido)
// Server: nginx/1.18.0 → (ocultado)
// Adiciona headers de segurança automáticos
```

```bash
# ✅ cURL funciona SEM CORS
curl -X GET https://api.exemplo.com/dados
# → 200 OK (servidor responde normalmente)

# ❌ Browser bloqueia SEM CORS
fetch('https://api.exemplo.com/dados')
# → CORS error (browser bloqueia a resposta)
```

**Servidor sempre processa** - browser que decide mostrar ou não.

1. **X-Powered-By**: Express.js versão específica
2. **Server**: Tecnologia e versão do servidor
3. **X-Sourcemap**: Localização dos source maps

- **Escopo limitado**: Só serve para renovar tokens
- **Armazenamento seguro**: httpOnly cookies
- **Rotation**: Muda a cada uso
- **Revogação**: Pode ser invalidado no servidor

**Armazenamento: Cookies httpOnly** vs LocalStorage
- ✅ Cookies: XSS não consegue acessar
- ❌ LocalStorage: JS pode ler (vulnerável a XSS)

**Refresh Token Rotation:**
```javascript
// A cada refresh, gerar novo refresh token
app.post('/refresh', (req, res) => {
    const oldRefresh = req.cookies.refreshToken;

    // Invalidar token antigo
    await blacklistToken(oldRefresh);

    // Gerar novo par
    const newAccessToken = generateAccessToken(user);
    const newRefreshToken = generateRefreshToken(user);

    res.cookie('refreshToken', newRefreshToken, { httpOnly: true });
    res.json({ accessToken: newAccessToken });
});
```