Обычно храню jwt в cookie с включенным флагом HttpOnly примерно так.
cookie := http.Cookie{
HttpOnly: true,
}
На mdn пишут, что в куки лучше не совать важные данные, честно говоря немного размытая формулировка, как по мне токен вполне важная информация. В связи с этим возник вопрос, как тогда правильно хранить токен, если возможно то хотел бы увидеть вариант решения для go.
Вы заглядывали внутрь токена? Там - json документ который описывает ваши права и привилегии в системе и также список ресурсов куда можно ходить. И срок действия токена.
Токен подписан тем центром выдачи токенов где вы его получали. И изменить его не сломав цифровую подпись невозможно.
Обычно срок действия - 1 час или сутки. За это время токен превратится в тыкву и будет бесполезен для злоумышленника. Я думаю что центр токенов может уменьшать это время вплоть до нескольких минут.
Токены используются не только в браузерах но и вообще в любых back-end системах. Поэтому про coockie можно сразу не говорить а говорить о слабых местах протокола и о том как быстро исправить ситуацию если токен украден или еще бох весть какой сценарий.
Ну вообще jwt в принципе лучше вообще для работы с браузером не использовать.
А так MDN, я так думаю, имел в виду данные приложения и какие-то совсем критичные данные, типа номеров карт и паролей, которые лучше вообще не хранить.
Например если ты делаешь корзину в интернет-магазине, то раньше вполне логично было бы использовать куки, а сегодня вместо этого лучше взять localstorage.
+ Куки не удобны для back-back взаимодействия
Так что если хочешь использовать jwt - лучше используй заголовок Authorization
Все-таки http-only куки для взаимодействия клиент-сервер безопаснее и чаще применяются. Из скриптов не должно быть прямого доступа к access/refresh токенам.
