Где хранить токены?

Question

daima @daima

Где хранить токены?

Есть spa приложение на react, есть refresh token и access token. А вот где их хранить, чтобы не сперли? В куках и локалсторадже ненадежно. В редаксе (сторе) тоже не советуют.

Гуглил - в примерах рассматривают куки, локалсторадж, а в конце пишут, что в серьезных приложениях так делать не стоит:D

Вопрос задан более трёх лет назад
980 просмотров

5 комментариев

Подписаться 1 Простой 5 комментариев

Роман Александрович @RomReed

это где вы прочитали что в сторе не стоит хранить токены?

Написано более трёх лет назад
deepblack @deepblack

Роман Александрович, например тут и еще много где.

Написано более трёх лет назад
Роман Александрович @RomReed

Андрей, и где тут пишут что нельзя хранить в сторе редукса ??

Написано более трёх лет назад
daima @daima Автор вопроса

Роман Александрович, например, тут

Вот, что ответили автору (гуглоперевод) "Redux сохраняет состояние в объекте JavaScript . Это делает его уязвимым для атаки XSS, как localStorage или sessionStorage. Если вам нужно, чтобы ваш JWT читался на стороне клиента, вы можете свободно использовать Redux, просто убедитесь, что вы правильно позаботились о XSS. Если JWT не требуется на стороне клиента, лучше оставьте его в файле cookie httpOnly и вместо этого обработайте CSRF."

Написано более трёх лет назад
deepblack @deepblack

Роман Александрович, я про Storage (Local|Session).
Видимо прочитал стор как Storage.

Написано более трёх лет назад

Пригласить эксперта

Ответы на вопрос 1

Комментировать

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы

React

Простой
Zod: Валидация select?
- 1 подписчик
- 3 часа назад
- 36 просмотров
0

ответов
React

Простой
Как, используя i18next-extract, разделять файлы переводов постранично?
- 1 подписчик
- 23 часа назад
- 18 просмотров
0

ответов
React

Простой
Почему данные не подгружаются в форму?
- 2 подписчика
- 18 нояб.
- 75 просмотров
3

ответа
React

Средний
Сборка build открывается на хостинге с ошибками в консоли, на localhost все работает, в чем может быть проблема?
- 1 подписчик
- 17 нояб.
- 129 просмотров
1

ответ
JavaScript

+1 ещё

Простой
Почему выдает ошибку когда загружаю проект в Vercel?
- 1 подписчик
- 15 нояб.
- 93 просмотра
0

ответов
React

Средний
React Hook Form. Какие существуют лучшие практики приведения объектов полученных с бекенда к значениям формы и обратно?
- 1 подписчик
- 13 нояб.
- 65 просмотров
0

ответов
JavaScript

+4 ещё

Простой
Почему слайдер на базе Swiper с видео YouTube в iframe не двигается при свайпе?
- 2 подписчика
- 13 нояб.
- 79 просмотров
1

ответ
React

Простой
Ошибка TypeError: Cannot read properties of undefined (reading 'completedCourses') в React-компоненте?
- 1 подписчик
- 13 нояб.
- 54 просмотра
0

ответов
React

+1 ещё

Средний
Как правильно обработать запрос в rtkq?
- 1 подписчик
- 11 нояб.
- 38 просмотров
1

ответ
React

Простой
Почему сбрасывается ref на элемент?
- 1 подписчик
- 10 нояб.
- 91 просмотр
0

ответов
Показать ещё Загружается…

Ведущий React Native разработчик

Студия 15

от 200 000 до 250 000 ₽

React Native developer (+Node.js)

CTRL+ • Москва

от 250 000 до 320 000 ₽

React Native Developer

Wanted. • Санкт-Петербург

До 300 000 ₽

Верстка Flutter + API

21 нояб. 2024, в 22:21

3000 руб./в час

Разработать Custom Speech-to-text Operator на Apache Flink

21 нояб. 2024, в 21:42

100000 руб./за проект

Сделать видио поздравления с субтитрами

21 нояб. 2024, в 21:30

500 руб./за проект

это где вы прочитали что в сторе не стоит хранить токены?
Роман Александрович, например тут и еще много где.
Андрей, и где тут пишут что нельзя хранить в сторе редукса ??
Роман Александрович, например, тут

Вот, что ответили автору (гуглоперевод) "Redux сохраняет состояние в объекте JavaScript . Это делает его уязвимым для атаки XSS, как localStorage или sessionStorage. Если вам нужно, чтобы ваш JWT читался на стороне клиента, вы можете свободно использовать Redux, просто убедитесь, что вы правильно позаботились о XSS. Если JWT не требуется на стороне клиента, лучше оставьте его в файле cookie httpOnly и вместо этого обработайте CSRF."
Роман Александрович, я про Storage (Local|Session).
Видимо прочитал стор как Storage.

Answer 1 · 2019-06-26 14:19:59

Антон Спирин @rockon404 Куратор тега React

Frontend Developer

Чтобы не сперли надо решать вопросы безопасности, а хранить можно во всех перечисленных хранилищах.

Ответ написан более трёх лет назад

Комментировать

Где хранить токены?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт