Crie um guia passo a passo, detalhado e prático, para desenvolvedores Node.js que desejam implementar um sistema de autenticação robusto e escalável utilizando JWT (JSON Web Tokens) e refresh tokens. O guia deve abordar:

1. **Geração e validação de tokens JWT:** Como gerar tokens de acesso e refresh tokens no lado do servidor, incluindo a escolha de bibliotecas (ex: `jsonwebtoken`).
2. **Estratégias de armazenamento de tokens:** Discussão sobre onde armazenar os tokens no cliente (localStorage, sessionStorage, cookies HTTP-only) e as implicações de segurança de cada abordagem.
3. **Mecanismo de refresh token:** Como implementar a rota de refresh token para gerar novos tokens de acesso sem exigir que o usuário faça login novamente, garantindo a revogação de tokens expirados ou comprometidos.
4. **Proteção de rotas:** Exemplos de middlewares para proteger rotas API, verificando a validade do token JWT presente na requisição.
5. **Segurança adicional:** Abordar tópicos como proteção contra CSRF (Cross-Site Request Forgery) para cookies, revogação de tokens em caso de logout ou alteração de senha, e boas práticas de armazenamento de chaves secretas.
6. **Exemplos de código:** Incluir snippets de código Node.js (Express.js como framework de exemplo) para ilustrar cada conceito.

O guia deve ser claro, conciso e focado em melhores práticas de segurança e escalabilidade, adequado tanto para iniciantes quanto para desenvolvedores com alguma experiência em Node.js.