Прежде всего, вы должны знать плюсы и минусы хранения токена в веб-хранилище (localStorage или sessionStorage) или в файле cookie.Рассмотрим безопасность:
Веб-хранилище (localStorage / sessionStorage) доступно через JavaScript в том же домене.Это означает, что любой JavaScript, работающий на вашем сайте, будет иметь доступ к веб-хранилищу, и из-за этого может быть уязвим для атак с использованием межсайтовых сценариев (XSS).
Файлы cookie, используемые с флагом cookie HttpOnly,не доступны через JavaScript и неуязвимы для XSS.Вы также можете установить флажок Безопасный файл cookie, чтобы гарантировать, что файл cookie отправляется только через HTTPS.Однако файлы cookie уязвимы к атакам подделки межсайтовых запросов (CSRF).
Вы можете обратиться к этой теме , в которой подробно обсуждается эта тема.