Где хранить токены?

Question

daima @daima

Где хранить токены?

Есть spa приложение на react, есть refresh token и access token. А вот где их хранить, чтобы не сперли? В куках и локалсторадже ненадежно. В редаксе (сторе) тоже не советуют.

Гуглил - в примерах рассматривают куки, локалсторадж, а в конце пишут, что в серьезных приложениях так делать не стоит:D

Вопрос задан более трёх лет назад
1006 просмотров

5 комментариев

Подписаться 1 Простой 5 комментариев

Роман Александрович @RomReed

это где вы прочитали что в сторе не стоит хранить токены?

Написано более трёх лет назад
deepblack @deepblack

Роман Александрович, например тут и еще много где.

Написано более трёх лет назад
Роман Александрович @RomReed

Андрей, и где тут пишут что нельзя хранить в сторе редукса ??

Написано более трёх лет назад
daima @daima Автор вопроса

Роман Александрович, например, тут

Вот, что ответили автору (гуглоперевод) "Redux сохраняет состояние в объекте JavaScript . Это делает его уязвимым для атаки XSS, как localStorage или sessionStorage. Если вам нужно, чтобы ваш JWT читался на стороне клиента, вы можете свободно использовать Redux, просто убедитесь, что вы правильно позаботились о XSS. Если JWT не требуется на стороне клиента, лучше оставьте его в файле cookie httpOnly и вместо этого обработайте CSRF."

Написано более трёх лет назад
deepblack @deepblack

Роман Александрович, я про Storage (Local|Session).
Видимо прочитал стор как Storage.

Написано более трёх лет назад

Помогут разобраться в теме Все курсы

Яндекс Практикум

Мидл фронтенд-разработчик

5 месяцев

Далее
Javascript.ru

Курс по React

5 недель

Далее
Нетология

Fullstack-разработчик на Python + нейросети

20 месяцев

Далее

Пригласить эксперта

Ответы на вопрос 1

Комментировать

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы

React

Простой
Возможно ли сократить обработчики событий?
- 1 подписчик
- 24 окт.
- 154 просмотра
2

ответа
React

+1 ещё

Простой
Как анимировать SVG в react?
- нет подписчиков
- 22 окт.
- 131 просмотр
2

ответа
React

Средний
Как правильно обрабатывать isFetching для одного и того же запроса в нескольких компонентах (React Query)?
- 1 подписчик
- 14 окт.
- 92 просмотра
0

ответов
React

+1 ещё

Простой
Как исправить ошибки с типом any, пустым значением {} и с «Component definition is missing display name»?
- 1 подписчик
- 09 окт.
- 89 просмотров
1

ответ
React

+2 ещё

Средний
Как получить текущие bounds (границы видимой области) карты в Yandex Maps API?
- 2 подписчика
- 23 сент.
- 120 просмотров
1

ответ
React

+1 ещё

Простой
Почему не работают стили кастомной кнопки MUI?
- 1 подписчик
- 22 сент.
- 64 просмотра
0

ответов
React

Простой
Какова оптимальная вложенность компонентов?
- 1 подписчик
- 18 сент.
- 150 просмотров
3

ответа
React

Простой
Как реализовать фильтры в React?
- 1 подписчик
- 17 сент.
- 118 просмотров
1

ответ
React

+1 ещё

Средний
REACT-HOOK-FORM. Как синхронизировать defaultValues с данными, получаемыми из react-query запроса?
- 1 подписчик
- 02 сент.
- 79 просмотров
0

ответов
React

Простой
Почему не показывается текст при сохранении PDF?
- 1 подписчик
- 25 авг.
- 55 просмотров
1

ответ
Показать ещё Загружается…

React разработчик

ITK academy • Нижний Новгород

от 50 000 до 90 000 ₽

Junior React Developer

ITK academy • Казань

от 50 000 до 90 000 ₽

Frontend (React + TypeScript)

Crypto Story Bank

от 1 500 до 3 000 $

это где вы прочитали что в сторе не стоит хранить токены?
Роман Александрович, например тут и еще много где.
Андрей, и где тут пишут что нельзя хранить в сторе редукса ??
Роман Александрович, например, тут

Вот, что ответили автору (гуглоперевод) "Redux сохраняет состояние в объекте JavaScript . Это делает его уязвимым для атаки XSS, как localStorage или sessionStorage. Если вам нужно, чтобы ваш JWT читался на стороне клиента, вы можете свободно использовать Redux, просто убедитесь, что вы правильно позаботились о XSS. Если JWT не требуется на стороне клиента, лучше оставьте его в файле cookie httpOnly и вместо этого обработайте CSRF."
Роман Александрович, я про Storage (Local|Session).
Видимо прочитал стор как Storage.

Answer 1 · 2019-06-26 14:19:59

Антон Спирин @rockon404 Куратор тега React

Frontend Developer

Чтобы не сперли надо решать вопросы безопасности, а хранить можно во всех перечисленных хранилищах.

Ответ написан более трёх лет назад

Комментировать

Где хранить токены?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт