Где хранить токены?

Question

daima @daima

Где хранить токены?

Есть spa приложение на react, есть refresh token и access token. А вот где их хранить, чтобы не сперли? В куках и локалсторадже ненадежно. В редаксе (сторе) тоже не советуют.

Гуглил - в примерах рассматривают куки, локалсторадж, а в конце пишут, что в серьезных приложениях так делать не стоит:D

Вопрос задан более трёх лет назад
963 просмотра

5 комментариев

Подписаться 1 Простой 5 комментариев

Роман Александрович @RomReed

это где вы прочитали что в сторе не стоит хранить токены?

Написано более трёх лет назад
deepblack @deepblack

Роман Александрович, например тут и еще много где.

Написано более трёх лет назад
Роман Александрович @RomReed

Андрей, и где тут пишут что нельзя хранить в сторе редукса ??

Написано более трёх лет назад
daima @daima Автор вопроса

Роман Александрович, например, тут

Вот, что ответили автору (гуглоперевод) "Redux сохраняет состояние в объекте JavaScript . Это делает его уязвимым для атаки XSS, как localStorage или sessionStorage. Если вам нужно, чтобы ваш JWT читался на стороне клиента, вы можете свободно использовать Redux, просто убедитесь, что вы правильно позаботились о XSS. Если JWT не требуется на стороне клиента, лучше оставьте его в файле cookie httpOnly и вместо этого обработайте CSRF."

Написано более трёх лет назад
deepblack @deepblack

Роман Александрович, я про Storage (Local|Session).
Видимо прочитал стор как Storage.

Написано более трёх лет назад

Пригласить эксперта

Ответы на вопрос 1

Комментировать

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации

Похожие вопросы

React

Простой
В чем заключается суть оптимизации скорости обновления компонентов через useReducer?
- 1 подписчик
- вчера
- 75 просмотров
1

ответ
JavaScript

+2 ещё

Средний
Как изменить содержание блока програмно со свойством contentEditable?
- 1 подписчик
- вчера
- 84 просмотра
0

ответов
React

Простой
Почему Vite/Rollup не может зарезолвить абсолютные импорты?
- 1 подписчик
- вчера
- 45 просмотров
1

ответ
PHP

+1 ещё

Простой
Почему не работает JWT поверка?
- 1 подписчик
- 22 апр.
- 72 просмотра
0

ответов
React

Простой
Как решить проблему с манифестом в CRA-приложении?
- 1 подписчик
- 22 апр.
- 42 просмотра
0

ответов
React

+2 ещё

Средний
Какие есть WYSIWYG редакторы для мини-приложений ВК?
- 1 подписчик
- 22 апр.
- 45 просмотров
1

ответ
JavaScript

+2 ещё

Средний
Как получить актуальные данные в state при использовании server side event (в момент срабатывания события) в компоненте React?
- 1 подписчик
- 20 апр.
- 78 просмотров
1

ответ
React

Простой
Как получить значение из стейта если он еще не обновился?
- 1 подписчик
- 20 апр.
- 54 просмотра
0

ответов
JavaScript

+1 ещё

Средний
Почему не берутся данные из Props при вызове функции ПО КЛИКУ?
- 1 подписчик
- 20 апр.
- 63 просмотра
0

ответов
React

+1 ещё

Простой
Как реализовать Микрофронтенд с использованием Vite с Typescript?
- 1 подписчик
- 19 апр.
- 54 просмотра
0

ответов
Показать ещё Загружается…

Frontend React

Glob-com

от 100 000 ₽

React разработчик

Uptrade

от 150 000 до 200 000 ₽

JS|React Native разработчик

Венста • Киров

от 60 000 до 120 000 ₽

Спарсить TON PLACE: скрейпинг фото и текста с анкет по списку URL

25 апр. 2024, в 05:57

3000 руб./за проект

Правки в webApp готового и написанного телеграмм бота next, tailwind

25 апр. 2024, в 05:29

25000 руб./за проект

Фронтер - DevOps. Развернуть фронт на хостинге. Прокинуть в телегу-бот

25 апр. 2024, в 04:38

10000 руб./за проект

это где вы прочитали что в сторе не стоит хранить токены?
Роман Александрович, например тут и еще много где.
Андрей, и где тут пишут что нельзя хранить в сторе редукса ??
Роман Александрович, например, тут

Вот, что ответили автору (гуглоперевод) "Redux сохраняет состояние в объекте JavaScript . Это делает его уязвимым для атаки XSS, как localStorage или sessionStorage. Если вам нужно, чтобы ваш JWT читался на стороне клиента, вы можете свободно использовать Redux, просто убедитесь, что вы правильно позаботились о XSS. Если JWT не требуется на стороне клиента, лучше оставьте его в файле cookie httpOnly и вместо этого обработайте CSRF."
Роман Александрович, я про Storage (Local|Session).
Видимо прочитал стор как Storage.

Answer 1 · 2019-06-26 14:19:59

Антон Спирин @rockon404 Куратор тега React

Frontend Developer

Чтобы не сперли надо решать вопросы безопасности, а хранить можно во всех перечисленных хранилищах.

Ответ написан более трёх лет назад

Комментировать

Где хранить токены?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт