Для сохранения токенов, таких как JWT, рекомендуется использовать localStorage вместо куки. Это потому, что данные в localStorage не отправляются с каждым запросом на сервер, как это делают куки, что снижает риск CSRF атак. Кроме того, данные в localStorage доступны только для кода на том же домене, что уменьшает риск утечки данных.

JWT обычно сохраняют в localStorage для использования в клиентском приложении, но нужно учитывать возможные уязвимости, такие как XSS атаки. Поэтому, необходимо применять меры для защиты хранимых данных, такие как использование HTTPS и регулярное обновление токенов.

В payload JWT после авторизации обычно помещаются основные данные пользователя, такие как идентификатор пользователя, роль, или другая информация, которая потребуется при обработке запросов на сервере. Не рекомендуется хранить в payload такие конфиденциальные данные, как пароль, логин или email, так как это может повысить риск утечки информации и нарушения конфиденциальности.

В целом, лучшие практики по сохранению токенов и данных пользователя в payload JWT включают использование безопасных методов хранения, защиту от уязвимостей, регулярное обновление и внимание к механизмам безопасности при работе с данными пользователя.