Dans le but de sécuriser l'API REST à l'aide de JWT, selon certains documents (comme ce guide et cette question ), le JWT peut être stocké dans localStorage ou Cookies . Basé sur ma compréhension:
- localStorage est soumis à XSS et il n'est généralement pas recommandé d'y stocker des informations sensibles.
- Avec les cookies, nous pouvons appliquer le drapeau "httpOnly" qui atténue le risque de XSS. Cependant, si nous devons lire le JWT à partir des cookies sur le backend, nous sommes alors soumis au CSRF.
Donc, sur la base du principe ci-dessus, il sera préférable de stocker JWT dans les cookies. À chaque demande adressée au serveur, le JWT sera lu à partir des cookies et ajouté dans l'en-tête d'autorisation en utilisant le schéma de support. Le serveur peut alors vérifier le JWT dans l'en-tête de la requête (au lieu de le lire à partir des cookies).
Ma compréhension est-elle correcte? Dans l'affirmative, l'approche ci-dessus présente-t-elle des problèmes de sécurité? Ou en fait, pouvons-nous simplement nous en sortir en utilisant localStorage en premier lieu?