Я вижу, что сегодня почти стандартно использовать JWT для современных приложений, где API и интерфейс полностью отделены и обслуживаются с другого сервера.
Я знаю, что браузеры не будут отправлять куки-файлы в разные домены по умолчанию, но это легко можно преодолеть, установив правильные заголовки в бэкэнде и настроив HTTP-клиента соответствующим образом, например, с помощью Ax ios:
withCredentials: true
И express:
res.setHeader('Access-Control-Allow-Credentials', true);
Это позволило мне использовать express -сессию, даже если внешний интерфейс находится на localhost: 3000, а внутренний на localhost: 8000 (рассматривается как междоменный).
Вопрос: представляет ли это повышенную угрозу безопасности (кража и использование ie во время кражи и использования для экземпляра) по токену JWT, хранящемуся в localStorage? Я имею в виду, что с помощью куки вы можете по крайней мере установить атрибут httpOnly (что делает express -сессия по умолчанию), который заблокирует JS от его использования, но с localStorage это, очевидно, невозможно, поскольку вы должны его получить через JS.
Любые разъяснения будут с благодарностью.