Как использовать localStorage без проблем с безопасностью?

Question

Как мы можем хранить токены в localStorage, чтобы мы могли поддерживать сеанс?

Я проверил, что есть возможность изменить localStorage в браузере.

Можно ли хранить идентификатор пользователя и имя пользователя в localStorage?

Это можно изменить в браузере. Итак, каков наилучший способ сохранить информацию о пользователе, чтобы он мог быть пользователем во внешнем интерфейсе?

Например,

Идентификатор пользователя можно изменить в localStorage, что приведет к серьезной проблеме безопасности.

Заранее спасибо за ваши ответы.

Answer 1

В принципе, вы не можете. Имейте в виду, что интерфейс никогда не является действительно безопасным (хотя вы должны следовать некоторым рекомендациям, чтобы ограничить проблемы безопасности).

За безопасность отвечает ваш сервер. Например, когда вы получаете запрос PUT на пользовательскую сущность, вы должны проверить: - что пользователь, которого вы получаете от токена, является пользователем, который изменяется - или что пользователь (из токена) имеет право изменять пользователей.

Укажу, что обычно файлы cookie более защищены, чем локальное / сессионное хранилище: https://stormpath.com/blog/where-to-store-your-jwts-cookies-vs-html5-web-storage.