Ich lese über JWTs und ich bin wirklich von etwas verwirrt, die angegangen werden, scheint nicht zu:Können JSON Web Tokens nicht einfach gestohlen werden?
Was von nur einschließlich
localStorage.get ('secretjwt')
in ihrem Code eine bösartige Website stoppt und Diebstahl deine Token?
Wenn Sie es nicht als Cookie speichern, kann jeder darauf zugreifen! Und wenn es als Cookie gespeichert wird, warum dann nicht einfach Cookies verwenden?
Plätzchen und local von same-origin Politik
Bei der Berechnung geschützt sind, die Same Origin Policy ist ein wichtiges Konzept in der Web Application Security-Modell. Gemäß der Richtlinie ermöglicht ein Webbrowser, dass in einer ersten Webseite enthaltene Skripts auf Daten in einer zweiten Webseite zugreifen, jedoch nur, wenn beide Webseiten denselben Ursprung haben.
Zum Beispiel http://www.malicious.com oder http://www.example.com kann nicht in https://www.example.com auf Speicher zugreifen
Additionaly die Seite SSL/TLS verwenden sollte von dem Inhalt und verhinderte, dass das Token zu verschlüsseln
gestohlen Having said, dass man einzelnes XSS kann verwendet werden, um das Token von localStorage (oder sessionStorage oder websql oder etwas Ähnliches) zu erhalten, im Gegensatz zu einem httpOnly-Cookie, wo dies nicht der Fall wäre. –