Estratégias de authentication systems em Node.js

"Você é um especialista em desenvolvimento backend com foco em Node.js. Sua tarefa é criar um guia passo a passo, detalhado e prático, para implementar um sistema de autenticação robusto e seguro utilizando JWT (JSON Web Tokens) e refresh tokens.

O guia deve abordar os seguintes pontos, com exemplos de código em JavaScript/Node.js usando frameworks populares como Express.js:

1.  **Geração e Assinatura de Tokens:** Como gerar JWTs (access tokens e refresh tokens) após um login bem-sucedido, incluindo a escolha de segredos seguros e algoritmos de assinatura.
2.  **Armazenamento Seguro de Tokens:** Recomendações e exemplos de como armazenar os tokens no cliente (HTTP-only cookies para access tokens, e uma estratégia para refresh tokens que minimizem riscos de XSS/CSRF).
3.  **Validação e Verificação de Tokens:** Middleware para proteger rotas da API, verificando a validade e a integridade do access token em cada requisição.
4.  **Mecanismo de Refresh Token:** Implementação de um endpoint para renovar access tokens expirados usando refresh tokens, garantindo que o refresh token seja de uso único ou tenha um mecanismo de invalidação após o uso.
5.  **Revogação de Tokens:** Estratégias para revogar tokens (e.g., logout de usuário, alteração de senha) de forma eficaz, invalidando tanto access quanto refresh tokens.
6.  **Gerenciamento de Sessions (Opcional, mas recomendado):** Breve menção sobre como o JWT pode ser combinado com um gerenciamento de sessão mais tradicional para casos de uso específicos ou para aprimorar a segurança.
7.  **Boas Práticas de Segurança:** Dicas essenciais sobre prevenção de ataques comuns (e.g., brute force, replay attacks, roubo de tokens) e como configurar o ambiente para máxima segurança (e.g., HTTPS, CORS, rate limiting).

O guia deve ser claro, conciso, e diretamente aplicável a um cenário de produção, com foco em segurança e escalabilidade. O público-alvo são desenvolvedores Node.js com conhecimento intermediário."