Здравствуйте, у меня есть приложение для реагирования, которое использует JWT для аутентификации. Мы храним этот JWT в локальном хранилище, но служба безопасности в нашей команде говорит нам, что он небезопасен, потому что к этому токену можно получить доступ через Javascript.
Вместо этого они просят сохранить его в cookie. Потому что это небезопасно. Но для меня cookie также может быть доступен в js, поэтому я не вижу в этом смысла.
Знаете ли вы, почему хранилище файлов cookie должно быть более безопасным, чем локальное хранилище и хранилище сеансов? Так ли это на самом деле?
Какой самый безопасный способ использовать JWT?
Я не спрашиваю, как мне использовать JWT, но как лучше всего защитить его.