token 应存放于 cookie 还是 localstorage

歪星喵:
果然是搞前端的，闲的无聊了看看电影也好，一个token还在这里故弄玄虚，一个程序搞的跟玄学一样了！token就是后端给你的一个明文字符串，放哪跟安全有关系吗？

JackJCSN:
jwt标准默认有加密？该不是对base64有什么误解吧？jwt只能防篡改，不能防偷窥。切记任何时候都不要jwt中存放过于敏感的数据。jwt只适合简单存放用户标识等不是特别敏感的数据。如果你包含敏感数据（标识以外的个人信息等）那么无论你使用cookie还是local storage都会导致敏感信息的泄漏。

【回复】你理解的JWT只是JWS，加密的叫JWE。
洞穴夜莺:
肯定存localStorage啊，存cookie会被CSRF攻击，十分不安全 你说的那种情况，黑客都能写你数据库了，还玩毛线，条件过于苛刻 况且一般情况下前端都是和后端分离的，渲染工作是前端进行，不会有后端啪的发一段HTML然后指望它能在某处显示的，响应格式不对只会报错

你热爱的就是我的生意:
你看他一本工程的书都没有就知道他的知识面在前端实现层。

游狐之声:
这个我一直认为前端是不安全的，是不是要配合着ip检测来做的。 就比如说token有效期10分钟，在那10分钟内同一个ip可以无限请求。 但是如果在那个10分钟内，请求ip变化了，就提示token失效，请重新获取。 或者说是判断同一个局域网内都可以用同一个token，不是一个网段就提示失效。

【回复】没问题 百度云盘就是这么搞的
【回复】回复 @氷魂之菊 :那个淘宝登录有环境检测我怀疑就是用了浏览器指纹技术来判断是不是同一用户（虽然好像那个浏览器指纹有点侵犯隐私）
【回复】回复 @氷魂之菊 :还要配合设备环境的
打撸面2018:
我去，照你说的，存哪里不一样吗，所有认证链接都会带上token啊，本就是明着来的

小波911:
存cookie不是会被CSRF攻击……不是更不安全？

穿扬骑士:
jwt有啥敏感数据啊，谁会放敏感数据在token。。。

曹丞相爱吃大白兔:
和存储地点没有关系，和token的生成规则有关系。而且，web环境下，token的校验都是比较严格的，时间、设备签名等等都是校验条件。视频中的说明其实在实际生产中没有什么信服力

TroubleQin:
这东西 怎么说呢 为什么纠结他。加密了前端加密后端加密 防谁呢 君子还是小人

不是很肥的FatOtaku:
我也思考过这个问题 不知道大厂怎么处理的 我都在你的客户端了 也就是我都能拿到你的电脑了 还要你这些token干啥 直接操作你的电脑。 个人理解这东西就和钥匙一样，只要有钥匙就能进，家里的门不会管我是不是这个家里的成员，钥匙对了，锁开了，就可以进入了。[doge]

【回复】京东够大吧 微信也不小吧 微信小程序那个wxid和京东的token拿出来库库干脚本 无解的
【回复】这个问题，我内外网各种文章看了很多，一句话不建议ls，大致从安全上cookie配合samesite security httponly等策略下，csrf可能性要比ls小
【回复】钥匙却是基本只会在你一个人身上，但这种情况保护你把钥匙从上海寄到北京开门，中间的又一个快递员被劫持了，就可能泄漏
士大夫身份:
这个link值返回给前端整体会是一个字符串，怎么会这种格式

Dr_D老师:
安全都是后端控制的，前端哪来的安全性[doge]

格局小乐:
存cookie被xss了黑客虽然拿不到token但可以直接调敏感接口

【回复】回复 @时光之彼岸 :是这样的 存哪里都有风险的 看怎么权衡了