Хотите защитить JWT в приложении на основе реагировать

Question

Я искал и прочитал много статей, где хранить JWT в session или cookie, но я не могу знать, что является правильным местом или способом хранения моего JWT в моем react redux приложение

Я храню JWT в хранилище сессий, но он легко раскрывается из инструмента разработчика. И если я попробую с HTTPonly cookie, тогда это не может быть прочитано javascript. Так что я волнуюсь, где хранить токен JWT, который не может быть предоставлен пользователю, или какой шаг или меры должны сделать приложение защищенным, чтобы пользователь не знал о токене jwt

Пожалуйста, предоставьте предложение

Answer 1

Я думаю, что это может помочь:

Используйте httpOnly secure cookie.

Файлы cookie отправляются на сервер автоматически при отправке запроса на сервер, хотя отправляются только соответствующие файлы cookie (к счастью).

Вы должны выполнять проверку подлинности на стороне сервера и не беспокоиться о передаче cookie-файла JWT в отдельном запросе от JS на стороне клиента. Это единственный хороший способ смягчить атаку XSS, о которой я знаю

Answer 2

Вы должны хранить токен в local storage, session storage, и я не думаю, что вы можете скрыть какую-либо информацию на стороне клиента от пользователей.