В настоящее время я разрабатываю API, который использует JWT для аутентификации. Я хотел бы создать SPA для использования этого API. Я прочитал различные статьи, рекомендации и вопросы о рекомендованном подходе к хранению этих токенов в SPA, и, кажется, есть много информации и опций об этой теме c.
В будущем я хотел бы Я хотел бы создать мобильное приложение для использования моего API, поэтому я выбрал JWT для аутентификации API.
Из того, что я прочитал сейчас, абсолютно не рекомендуется хранить JWT в локальное хранилище из-за возможных уязвимостей XSS. Я также видел подходы на основе cook ie, но без флага httpOnly он представляет столько же уязвимостей, сколько и локальное хранилище.
Мне кажется, что httpOnly cook ie - рекомендуемый подход, но, пожалуйста, поправьте меня, если я ошибаюсь. Если это так, как это будет работать на стороне SPA? Поскольку он не может получить доступ к содержимому повара ie. Означает ли это, что мне придется создавать какую-то серверную программу для обработки этих вызовов API для меня? Есть ли безопасные альтернативы этому?
Я также подумал о том, чтобы хранить токен в памяти. К сожалению, если я решу это сделать, у пользователя не будет возможности оставаться в системе в течение более длительного периода времени. Им также придется снова войти в систему, если они откроют веб-сайт в новой вкладке.