Где хранить токены?

Question

daima @daima

Где хранить токены?

Есть spa приложение на react, есть refresh token и access token. А вот где их хранить, чтобы не сперли? В куках и локалсторадже ненадежно. В редаксе (сторе) тоже не советуют.

Гуглил - в примерах рассматривают куки, локалсторадж, а в конце пишут, что в серьезных приложениях так делать не стоит:D

Вопрос задан более трёх лет назад
1005 просмотров

5 комментариев

Подписаться 1 Простой 5 комментариев

Роман Александрович @RomReed

это где вы прочитали что в сторе не стоит хранить токены?

Написано более трёх лет назад
deepblack @deepblack

Роман Александрович, например тут и еще много где.

Написано более трёх лет назад
Роман Александрович @RomReed

Андрей, и где тут пишут что нельзя хранить в сторе редукса ??

Написано более трёх лет назад
daima @daima Автор вопроса

Роман Александрович, например, тут

Вот, что ответили автору (гуглоперевод) "Redux сохраняет состояние в объекте JavaScript . Это делает его уязвимым для атаки XSS, как localStorage или sessionStorage. Если вам нужно, чтобы ваш JWT читался на стороне клиента, вы можете свободно использовать Redux, просто убедитесь, что вы правильно позаботились о XSS. Если JWT не требуется на стороне клиента, лучше оставьте его в файле cookie httpOnly и вместо этого обработайте CSRF."

Написано более трёх лет назад
deepblack @deepblack

Роман Александрович, я про Storage (Local|Session).
Видимо прочитал стор как Storage.

Написано более трёх лет назад

Помогут разобраться в теме Все курсы

Яндекс Практикум

Мидл фронтенд-разработчик

5 месяцев

Далее
Яндекс Практикум

React-разработчик

3 месяца

Далее
Яндекс Практикум

Фронтенд-разработчик

10 месяцев

Далее

Пригласить эксперта

Ответы на вопрос 1

Комментировать

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы

React

+1 ещё

Простой
Как анимировать SVG в react?
- нет подписчиков
- вчера
- 93 просмотра
2

ответа
React

Средний
Как правильно обрабатывать isFetching для одного и того же запроса в нескольких компонентах (React Query)?
- 1 подписчик
- 14 окт.
- 80 просмотров
0

ответов
React

+1 ещё

Простой
Как исправить ошибки с типом any, пустым значением {} и с «Component definition is missing display name»?
- 1 подписчик
- 09 окт.
- 78 просмотров
1

ответ
React

+2 ещё

Средний
Как получить текущие bounds (границы видимой области) карты в Yandex Maps API?
- 2 подписчика
- 23 сент.
- 94 просмотра
1

ответ
React

+1 ещё

Простой
Почему не работают стили кастомной кнопки MUI?
- 1 подписчик
- 22 сент.
- 60 просмотров
0

ответов
React

Простой
Какова оптимальная вложенность компонентов?
- 1 подписчик
- 18 сент.
- 142 просмотра
3

ответа
React

Простой
Как реализовать фильтры в React?
- 1 подписчик
- 17 сент.
- 112 просмотров
1

ответ
React

+1 ещё

Средний
REACT-HOOK-FORM. Как синхронизировать defaultValues с данными, получаемыми из react-query запроса?
- 1 подписчик
- 02 сент.
- 77 просмотров
0

ответов
React

Простой
Почему не показывается текст при сохранении PDF?
- 1 подписчик
- 25 авг.
- 51 просмотр
1

ответ
React

+2 ещё

Простой
Как корректно загружать изображения с react на бэкенд через graphql?
- 1 подписчик
- 22 авг.
- 151 просмотр
1

ответ
Показать ещё Загружается…

React разработчик

ITK academy • Нижний Новгород

от 80 000 до 120 000 ₽

React Developer

ITK academy • Воронеж

от 50 000 до 90 000 ₽

Senior-разработчик React

СмартПро • Москва

от 100 000 ₽

это где вы прочитали что в сторе не стоит хранить токены?
Роман Александрович, например тут и еще много где.
Андрей, и где тут пишут что нельзя хранить в сторе редукса ??
Роман Александрович, например, тут

Вот, что ответили автору (гуглоперевод) "Redux сохраняет состояние в объекте JavaScript . Это делает его уязвимым для атаки XSS, как localStorage или sessionStorage. Если вам нужно, чтобы ваш JWT читался на стороне клиента, вы можете свободно использовать Redux, просто убедитесь, что вы правильно позаботились о XSS. Если JWT не требуется на стороне клиента, лучше оставьте его в файле cookie httpOnly и вместо этого обработайте CSRF."
Роман Александрович, я про Storage (Local|Session).
Видимо прочитал стор как Storage.

Answer 1 · 2019-06-26 14:19:59

Антон Спирин @rockon404 Куратор тега React

Frontend Developer

Чтобы не сперли надо решать вопросы безопасности, а хранить можно во всех перечисленных хранилищах.

Ответ написан более трёх лет назад

Комментировать

Где хранить токены?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт