Где я должен сохранить JWT клиента для будущих запросов?

Question

Мой API возвращает токен клиенту при ведении журнала, который, в свою очередь, требует, чтобы клиент каждый раз помещал его в заголовок для отправки запроса на сервер.Где я должен сохранить эти токены?Если сохранено в хранилище браузера, любой может скопировать и войти в учетную запись клиента

Answer 1

Вы правы. Хранить его в локальном хранилище небезопасно.

JWT должен храниться в файле cookie HttpOnly, специальном виде файла cookie, который отправляется только в HTTP-запросах на сервер и никогда не доступен (как для чтения, так и для записи) из JavaScript, работающего в браузере.

Подробнее об этом можно узнать в этой статье о лучших практиках JWT. https://logrocket.com/blog/jwt-authentication-best-practices/