Salut,
Je ne sais pas comment le gère la librairie (je suppose que tu utilises une librairie) mais tu as 2 solutions : cookie en HttpOnly et Secure ou le local storage. À noter que le localstorage je déconseille pour des pbs de sécurité.
Pourquoi cookie httponly et secure à la place du localstorage? Le client (avec javascript) ne doit pas avoir accès à ce token. Dans le JWT généralement on ajoute le token CSRF, mais si le JWT est accessible via js le token csrf ne contre plus les attaques qu'il est censé "gérer".
Joouul