JWT का उपयोग करके REST API सुरक्षित करने के उद्देश्य से, कुछ सामग्रियों (जैसे यह मार्गदर्शिका और यह प्रश्न ) के अनुसार, JWT को स्थानीयस्टोरेज या कुकीज़ में संग्रहीत किया जा सकता है । मेरी समझ के आधार पर:
- LocalStorage XSS के अधीन है और आमतौर पर इसमें किसी भी संवेदनशील जानकारी को संग्रहीत करने की अनुशंसा नहीं की जाती है।
- कुकीज़ के साथ हम झंडा "httpOnly" लगा सकते हैं जो XSS के जोखिम को कम करता है। हालाँकि अगर हम बैकएंड पर कुकीज़ से JWT को पढ़ना चाहते हैं, तो हमें CSRF के अधीन होना चाहिए।
तो उपरोक्त आधार पर आधारित है - यह सबसे अच्छा होगा यदि हम कुकीज़ में JWT संग्रहीत करते हैं। सर्वर के हर अनुरोध पर, JWT को कूकीज़ से पढ़ा जाएगा और बेयरर स्कीम का उपयोग करके प्राधिकरण हेडर में जोड़ा जाएगा। सर्वर तब अनुरोध हेडर में JWT को सत्यापित कर सकता है (जैसा कि इसे कुकीज़ से पढ़ने के लिए विरोध किया गया है)।
क्या मेरी समझ सही है? यदि हां, तो क्या उपरोक्त दृष्टिकोण से कोई सुरक्षा चिंता है? या वास्तव में हम पहले स्थान पर लोकलस्टोरेज का उपयोग करके दूर हो सकते हैं?