Logout — Cerrar sesión
JWT es stateless. No existe un endpoint de logout en la API de Colurs. El cierre de sesión se gestiona eliminando los tokens del lado del cliente.
Pasos para cerrar sesión
1. Elimina el access token
Borra el access token de tu almacenamiento local (localStorage, memoria, cookie segura, etc.).
2. Elimina el refresh token
Borra el refresh token del almacenamiento local.
3. Redirige al usuario
Redirige al usuario a la pantalla de login o al flujo de inicio de sesión.
Los tokens JWT siguen siendo técnicamente válidos hasta su expiración aunque los elimines del cliente. El access token expira en 15 minutos; el refresh tiene una vida de 10 000 días. Si necesitas invalidación inmediata del refresh token, debes implementar una lista negra de tokens en el servidor.
Para una mayor seguridad, no almacenes el refresh token en localStorage. Prefiere cookies HttpOnly con atributos Secure y SameSite.