我正在使用REST API开发一个应用程序,即时通讯使用众所周知的JWT方法来保护我的服务但是有一些困扰我的事实是我可以在chrome的资源选项卡中看到我的令牌(firefox,IE ..等)我已经将令牌过期时间设置为30分钟,我刚想到几乎任何开发人员都可以通过检查javascript代码偷走我的后端网址,并从所述标签中偷走我的令牌,这样他就会有差不多30分钟(幸运的话)以某种方式破解我..它(localStorage)真的是唯一存储令牌的地方吗?
答案 0 :(得分:0)
有权访问您计算机的攻击者可以像访问Cookie一样轻松访问本地存储。即使是多重身份验证也无法帮助您处理控制经过身份验证的客户端的人(在这种情况下是浏览器)。