如何让非活动用户使用JWT登录？

我正在创建一个网站，也可以作为一个PWA使用。我使用JWT进行用户身份验证，并将JWT存储在localstorage中。我有一个特殊的用例，我需要让我的用户登录至少91天，即使一个用户只登录一次，并且在接下来的90天内不再使用该站点。为了让用户在这么长的时间内登录，我必须为JWTs设置一个很长的过期时间，根据我所读到的，这是不安全的。有什么方法可以在不使网站易受攻击的情况下实现我的目标

我正在使用Angular 8和DRF。

在localStorage中存储访问令牌（JWT）不是一个好主意。最好将刷新令牌保留为HttpOnly cookie，并在页面加载时请求新的访问令牌（JWT）。刷新令牌意味着长寿命，而访问令牌则不是。有关更多信息，请参阅本文：@jack.benson PWAs（我指的是安装的应用程序，而不是浏览器中使用的PWA）是否可以访问cookie？谢谢你的链接，我会查出来的。