После получения токена доступа с гибридным потоком или потоком кода авторизации, чтобы скрыть их от браузера, кажется глупым использовать SaveTokens = true в промежуточном программном обеспечении OpenIdConnect (ASP.NET Core), чтобы они снова оказались в браузере.
Как лучше хранить токен доступа с помощью промежуточного программного обеспечения?