Java 如何在客户端管理JWT访问和刷新令牌

我正在开发一个基于微服务的应用程序，使用Zuul作为API网关，但我对安全系统有一些顾虑。
目前，我使用位于zuul网关前面的spring security开发了一个安全层。这意味着背后的每个微服务都不受身份验证/授权逻辑的影响，因为它是在zuul级别执行的
用户基本上向身份验证服务提供其凭证，该服务生成并将访问和刷新令牌返回给客户端。 对于微服务公开的对受保护API的每个后续请求，客户端都会发送访问令牌，如果经过验证，该令牌将允许访问。
每当访问令牌过期时，客户端都使用刷新令牌来获取新的访问令牌。 我的问题是如何在客户端存储这些令牌。我考虑将访问令牌存储在内存中，因为它的持续时间非常有限（10分钟），而刷新令牌存储在httponly cookie中，以防CSRF。
另一个问题是，可以从移动应用程序和网站访问相同的资源。据我所知，手机不需要受到CSRF的保护。 您将如何处理这种情况？如何在客户端管理这些令牌