Шифрование, затем сохранение токена доступа в localStorage

Question

Мой API возвращает токен доступа после входа пользователя.

Все будущие запросы должны включать этот токен в заголовок аутентификации.

Я бы хотел, чтобы пользователи оставались в системе, даже если они закроют и снова откроют браузер.

Могу ли я безопасно сохранить зашифрованную версию этого токена доступа в localStorage, получить его, расшифровать в коде моего клиента React и отправить в API?

Answer 1

Конечно, вы можете использовать что-то вроде https://www.npmjs.com/package/aes-js или другую библиотеку, если вам нравится https://www.npmjs.com/search?q=keywords:encrypt.

Я думаю, что реальный вопрос в том, почему? Пользователь всегда может увидеть незашифрованное значение в сетевом запросе инструментов dev. Если маркер доступа привязан к имени пользователя и паролю, которыми владеет пользователь, почему они не могут его увидеть? Это действительно просто еще один способ написать свое имя пользователя и пароль. Если оно связано с именем пользователя, которое принадлежит вашему приложению (например, ваш сервер использует это имя пользователя для входа на другой сервер для всех запросов, а не только для этого одного пользователя), вам не следует передавать его в браузер, потому что это легко украсть.