aceessToken은 sessionStorage, refreshToken은 HttpOnlyCookie에 저장하시나요?

안녕하세요 강의 잘 보고 있습니다.

현재 구현상에는 새로고침을 하거나 창을 나가게 되면 로그인이 풀리게되는데요.(vuex가 js가 동작하는 메모리 공간을 사용해 그런거라 생각했습니다) 새로고침시에도 로그인이 유지되고, 창을 나갔다 다시 들어와도 자동로그인이 되어있게끔 만들고 싶습니다. 

최영환님 질문에 token에 성격에 맞게 sessionStorage와 cookie를 사용하신다 답변하셨는데요.

accessToken을 sessionStorage에 refreshToken은 Http Only 설정으로 persistence Cookie에 저장하는 방식을 활용하는게 맞으실까요? 여러가지 글을 찾아 보았지만 이 방식이 xss와 csrf에 대응할 수 있는 방법이 맞나 확신이 안들어서 질문 드려요.

맞다면 vuex-persistedstate를 이용해 vuex에 accessToken를 sessionStorage로 옮겨 사용하시나요? 아니면 지금처럼 vuex에만 저장하고 새로고침시에는 refreshToken을 사용해 aceessToken을 새로 발급받아 사용하시나요?

위에 설명한 방식이 아니더라도(jwt를 이용하는 방식이 아니더라도) 현업에서는 자동로그인을 어떻게 구현하는지 궁금합니다. velog는 개발자도구로 cookie에 access_token과 refresh_token이 담기는걸 확인했는데 네이버는 확인이 안 되서요.

다른 수강생 분들도 아시는 분들이 있으면 답변 부탁드려요