Ich lese über JWTs und ich bin wirklich von etwas verwirrt, die angegangen werden, scheint nicht zu:Können JSON Web Tokens nicht einfach gestohlen werden?
Was von nur einschließlich
localStorage.get ('secretjwt')
in ihrem Code eine bösartige Website stoppt und Diebstahl deine Token?
Wenn Sie es nicht als Cookie speichern, kann jeder darauf zugreifen! Und wenn es als Cookie gespeichert wird, warum dann nicht einfach Cookies verwenden?
gestohlen Having said, dass man einzelnes XSS kann verwendet werden, um das Token von localStorage (oder sessionStorage oder websql oder etwas Ähnliches) zu erhalten, im Gegensatz zu einem httpOnly-Cookie, wo dies nicht der Fall wäre. –